Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Vraag 1 (VVD)

De leden van de VVD-fractie achten het van groot belang dat de uitwisseling en verwerking van gegevens tussen instanties en sectoren aanzienlijk wordt verbeterd zodat de aanpak van fraude, criminaliteit en ondermijning effectiever en slimmer wordt. Met het wetsvoorstel Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden) (hierna: het wetsvoorstel) wordt getracht knelpunten uit de praktijk aan te pakken. Deze leden waarderen de inzet voor een optimale gegevensuitwisseling en benadrukken dat wetgeving dient aan te sluiten bij de huidige praktijk. Voornoemde leden hebben derhalve een aantal vragen en opmerkingen betreffende het voorliggende wetsvoorstel.

De regering deelt de mening dat het van groot belang is dat relevante betrokkenen goed aangesloten zijn. Bij de totstandkoming van dit wetsvoorstel zijn de relevante partijen betrokken. Allereerst heeft het conceptwetsvoorstel voor (internet)consultatie opengestaan van 6 juli tot 20 september 2018. Er zijn 72 burgerreacties ontvangen en 21 reacties van organisaties: de Autoriteit persoonsgegevens, Amnesty International, College voor de rechten van de mens, FEC, FIU, iCOV, Koninklijke Notariële Beroepsorganisatie, NJCM, Nederlandse Vereniging van Banken, NOvA, NVvR, OM, Piratenpartij, Platform Bescherming Burgerrechten, Politie, Privacy barometer, Privacy First, Reclassering, Regioburgemeesters, Verbond van verzekeraars en VNG. Deze reacties hebben geleid tot aanpassingen van het wetsvoorstel, zoals nader toegelicht in paragraaf 10 van de memorie van toelichting.

Op 6 juli 2018 is het conceptwetsvoorstel eveneens voorgelegd aan de Autoriteit persoonsgegevens, die op 4 januari 2019 advies uitbracht. Naar aanleiding van dat advies is op 22 februari 2019 een aangepast voorstel voorgelegd aan de Autoriteit persoonsgegevens, waarna zij op 19 april 2019 aanvullend advies uitbracht. Vervolgens is het wetsvoorstel op 21 juni 2019 aangeboden aan de Afdeling advisering van de Raad van State, die op 21 november 2019 advies heeft uitgebracht. Vanwege de ingrijpende aanpassingen sindsdien zijn vervolgens direct betrokken partijen opnieuw geconsulteerd: (deelnemers in) het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen zijn daarbij geconsulteerd. Een verslag hiervan is opgenomen aan het slot van paragraaf 10 van de memorie van toelichting.

Vraag 2 (VVD)

De overheid moet ernstige en ondermijnde criminaliteit kunnen voorkomen, opsporen en bestrijden. Het uitwisselen van gegevens tussen publieke instanties onderling, maar ook met private partijen, draagt bij aan een effectief optreden. De leden van de VVD-fractie delen de zorg van de Afdeling Advisering van de Raad van State (hierna: de Afdeling) over het facultatieve karakter van het wetsvoorstel. In hoeverre past dit bij de effectiviteit van de noodzakelijke samenwerking?

Vraag 3 (VVD)

Deze leden sluiten zich aan bij de vragen die de Afdeling formuleert over de effectiviteit van het wetsvoorstel. De vraag is of de voorliggende kaderwet de door de regering gestelde doelen, regulering en harmonisatie van samenwerkingsverbanden bereikt. De regering kiest ervoor om, op basis van het advies van de Afdeling, het wetsvoorstel te richten op een viertal samenwerkingsverbanden. Waarom is voor deze vier samenwerkingsverbanden gekozen?

De regering heeft gekozen voor het Financieel Expertisecentrum (FEC), de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionale Informatie- en Expertisecentra (RIEC’s) en de Zorg- en Veiligheidshuizen om de volgende redenen:

• – Het gaat hier om verbanden die samenwerken voor essentiële maatschappelijke vraagstukken op het terrein van het voorkomen en bestrijden van criminaliteit of op het snijvlak van zorg en veiligheid. Meer specifiek gaat het om de integrale aanpak van – samengevat – risico’s van inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van georganiseerde criminaliteit, en van complexe problemen rond personen op het snijvlak van zorg en veiligheid.

• – Het betreft samenwerkingsverbanden die inmiddels ten minste vijf jaar bestaan en daarmee een bestendig karakter hebben.

• – Juridische knelpunten staan bij deze samenwerkingsverbanden in de weg aan een optimale, nog effectievere samenwerking van deze samenwerkingsverbanden en behoeven een oplossing via wetgeving. Deze knelpunten en de bijbehorende oplossingen zijn samengevat in de opsomming in het antwoord op vraag 18. In paragraaf 3.3 van de memorie van toelichting zijn deze nader toegelicht.

Vraag 4 (VVD)

Welke consequenties kent deze verankering op de wijze waarop deze samenwerkingsverbanden opereren en reeds opereerden? Deelt de regering de mening dat verankering in de wet het primaire doel heeft effectiviteit van deze samenwerkingsverbanden te vergroten?

Vraag 5 (VVD)

Hoe gaat de regering om met mogelijke signalen van medewerkers in deze samenwerkingsverbanden als na inwerkingtreding zou blijken dat gegevensuitwisseling wordt bemoeilijkt, bijvoorbeeld door extra administratieve lastendruk? Is het Adviescollege Toetsing Regeldruk (ATR) geconsulteerd over de administratieve lastendruk van het wetsvoorstel?

Hetgeen nu in het wetsvoorstel wordt geregeld, is voor een belangrijk deel een codificatie van de bestaande praktijk. In zoverre leidt het wetsvoorstel als zodanig naar verwachting niet of nauwelijks tot extra administratieve lasten voor de deelnemers.

Op 6 juli 2018 is de internetconsultatieversie van het wetsvoorstel voor advies aan het ATR gezonden. Het ATR heeft het conceptwetsvoorstel ambtelijk afgehandeld en geen advies uitgebracht. Overeenkomstig het Instellingsbesluit ATR zullen ook de concept-amvb’s op grondslag van dit wetsvoorstel worden voorgelegd aan het ATR voor een toets op de gevolgen voor de regeldruk.

Vraag 6 (CDA)

De leden van de CDA-fractie hebben met grote belangstelling kennisgenomen van het wetsvoorstel. Zij zien de mogelijkheid van gegevensuitwisseling met een sterke wettelijke basis als een belangrijk instrument in de bestrijding van georganiseerde criminele activiteiten en het beter verzorgen van maatwerk bij een multidisciplinaire behandeling. Ook menen deze leden dat er met onderhavig wetsvoorstel recht wordt gedaan aan de bezwaren die zijn geuit bij een eerdere iteratie van dit wetsvoorstel. Het gaat bij gegevensverwerking door samenwerkingsverbanden vanzelfsprekend om een verregaande bevoegdheid die dient te worden voorzien van een stevige wettelijke basis en van voldoende waarborgen en met een rol weggelegd voor de wetgevende macht. Daar lijkt in onderhavig wetsvoorstel aan voldaan. Echter leidt het wetsvoorstel nog wel tot vragen bij deze leden.

De regering onderkent dat het een ervaringsgegeven is dat criminelen ook qua kennis en creativiteit zich niet gebonden voelen aan regels en systemen. Daarmee is echter niet onverenigbaar dat het wetsvoorstel een gesloten karakter heeft in de zin dat het uitsluitend ziet op samenwerkingsverbanden die bij of krachtens het wetsvoorstel worden aangewezen, voor de daarbij aangegeven doeleinden. Dit is bovendien onvermijdelijk om te voldoen aan hoger recht, waaronder de AVG, die onder meer vereist dat gegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Ook de Afdeling heeft geadviseerd om de reikwijdte van het wetsvoorstel niet open te laten. Wanneer de wezenlijke elementen en begrenzingen open worden gelaten, zet dit het parlement als medewetgever volgens de Afdeling te zeer op afstand. Om te voldoen aan artikel 8 van het EVRM en aan de AVG, is het daarnaast noodzakelijk dat er voldoende waarborgen worden geregeld ter bescherming van de privacy. Ook de Afdeling wijst op het belang van het regelen van voldoende waarborgen. De waarborgen en daarmee soms ook beperkingen die het wetsvoorstel stelt, zijn noodzakelijk ter bescherming van persoonsgegevens. Dat dergelijke waarborgen soms ook als knelpunt worden ervaren, doet aan hun waarde niets af.

De regering deelt de zorg van de CDA-fractieleden dat voorkomen moet worden dat de voorgestelde aanpak in de praktijk veel te log en te bureaucratisch zou zijn voor het doel waarvoor deze wet in het leven wordt geroepen. Door duidelijke grondslagen te bieden voor de gegevensverwerking, voorkomt het wetsvoorstel dat er een onnodige rem staat op het optimaal functioneren van samenwerkingsverbanden, doordat het onduidelijkheid wegneemt over de grondslagen voor noodzakelijke vormen van gezamenlijke, domeinoverstijgende gegevensverwerking. Waar de WGS begrenzingen, beperkingen en waarborgen bevat, is ernaar gestreefd om binnen redelijke marges ruimte te laten voor flexibiliteit. Daarom zijn in de WGS onder meer de volgende mogelijkheden gecreëerd voor innovatie en toekomstige ontwikkelingen, mede om te voorkomen dat de WGS log en bureaucratisch zou worden:

• – Het wetsvoorstel is zoveel mogelijk techniekonafhankelijk geformuleerd.

• – Bij of krachtens amvb kunnen nieuwe deelnemers aan de samenwerkingsverbanden worden toegevoegd.

• – Bij of krachtens amvb kunnen voor de RIEC’s nieuwe activiteiten worden aangewezen, waaronder vormen van geautomatiseerde gegevensanalyse (artikel 2.18, tweede lid). Voor het FEC is dit bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid). Voor iCOV volgt deze bevoegdheid overigens uit het wetsvoorstel zelf (artikel 2.13), terwijl de Zorg- en Veiligheidshuizen geen geautomatiseerde gegevensanalyses uitvoeren.

• – Bij het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen, kunnen bij amvb nieuwe categorieën gegevens worden toegevoegd die zij mogen verwerken. Voor iCOV is dit bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.12, derde lid).

Vraag 7 (CDA)

Ook vragen deze leden of het niet veel verstandiger zou zijn, zoals dat ook in algemene zin in het strafrecht nu staande praktijk is, om open bevoegdheden toe te kennen, deze te reguleren op basis van proportionaliteit en subsidiariteit en tussentijds rechterlijke toetsmomenten in te bouwen.

Vraag 8 (CDA)

De leden van de CDA-fractie lezen dat er ook verwezen wordt naar het advies van de Afdeling wanneer er gesproken wordt over de punten van de Autoriteit Persoonsgegevens (AP). Zij merken op dat er wel een aanvullend advies is gevraagd aan de AP na het verschijnen van het definitieve wetsvoorstel, maar dat de Afdeling niet een advies heeft uitgebracht op het definitieve wetsvoorstel. Deze leden vragen de regering of daar een specifieke reden voor is.

Vraag 9 (D66)

De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel. Deze leden begrijpen en onderschrijven de noodzaak van de aanpak van georganiseerde (ondermijnende) criminaliteit in onze democratische rechtsstaat en het daarmee samenhangende belang om informatie uit te wisselen tussen overheidsorganisaties en, onder omstandigheden, tussen overheidsorganisaties en private partijen. Voornoemde leden vinden het positief dat de regering een aantal bestaande samenwerkingsverbanden een expliciete wettelijke basis wil geven. Zij maken zich tegelijkertijd zorgen over de manier waarop de overheid, zoals ook in de casus Systeem Risico Indicatie (SyRi), omgaat met het verzamelen, koppelen en analyseren van grote databestanden en de spanning met essentiële grondrechten zoals het grondwettelijk verankerde recht op eerbiediging van de persoonlijke levenssfeer. Voornoemde leden hebben een aantal vragen en opmerkingen betreffende het voorliggende wetsvoorstel.

Vraag 10 (GroenLinks)

De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel dat kort gezegd een juridische basis beoogt te bieden voor de systematische verwerking en deling van persoonsgegevens door publieke en private samenwerkingsverbanden. De leden begrijpen en onderschrijven in beginsel de noodzaak om de wettelijke kaders voor informatiedeling ter heroverwegen. De toenemende invloed van georganiseerde criminele verbanden op de samenleving in het algemeen en het functioneren van overheden in het bijzonder baart ook de leden grote zorgen. De leden onderschrijven het uitgangspunt dat in het geval van ernstige en ondermijnende criminaliteitsvormen effectief moet kunnen worden opgetreden en daarbij kan, onder strikte voorwaarden om misslagen te voorkomen, informatiedeling en -verwerking goede diensten bewijzen. Het sectorale karakter van de huidige regelingen lijkt gegevensverwerking in samenwerkingsverbanden in de weg te staan, waardoor een effectieve aanpak van ernstige en ondermijnende criminaliteit wordt bemoeilijkt. Voornoemde leden hebben een aantal vragen en opmerkingen betreffende het voorliggende wetsvoorstel.

Vraag 11 (GroenLinks)

Voornoemde leden vragen of de kritiek van de Afdeling geheel is opgevolgd in het huidige voorstel. Kan de regering voorzien in een precies overzicht per onderdeel van het oorspronkelijke aan de Afdeling voorgelegde voorstel, het commentaar van de Afdeling daarop en de precieze wijze waarop de regering daaraan gevolg heeft gegeven?

Vraag 12 (SP)

De leden van de SP-fractie hebben met kritische belangstelling kennisgenomen van het wetsvoorstel. Samenwerking en het delen van informatie in de bestrijding van criminaliteit, het aanpakken van fraude en het ontduiken van wettelijke verplichtingen is van groot belang, maar de grondrechten en de grenzen van de rechtsstaat moeten in acht worden genomen. Deze leden hebben over het wetsvoorstel nog veel vragen, die zowel fundamenteel als specifiek van aard zijn.

Vraag 13 (SP)

De leden van de SP-fractie wijzen bijvoorbeeld ook op consultatiedocumenten, waaruit blijkt dat het proces tamelijk rommelig is verlopen. Zo schrijft bijvoorbeeld het RIEC-LIEC: «Gesteld kan worden dat de poging om een kaderwet voor samenwerkingsverbanden op te stellen die voldoet aan de Algemene verordening gegevensbescherming (AVG) en allerlei internationale verdragen niet is geslaagd. Dit heeft ertoe geleid dat onder stoom en kokend water een oplossing gevonden moest worden voor de vier samenwerkingsverbanden die oorspronkelijk de aanleiding vormden om te komen tot wetgeving. Zoals ook hiervoor is aangegeven is thans wederom de reactietermijn te kort om een inhoudelijke bespreking in de stuurgroepen mogelijk te maken.» Kan de regering hierop reflecteren? Vindt de regering dat het proces zorgvuldig is doorlopen of had dit beter gekund en gemoeten?

Ter zake van de RIEC’s hebben burgemeesters en de stuurgroepen RIEC’s tijdens de voorbereiding van het wetsvoorstel in hun consultatiereactie aangegeven positief te zijn over het idee om samenwerkingsverbanden een goede wettelijke basis te bieden, maar kritisch te zijn op zowel de snelheid van het proces als op de inhoud. Het belangrijkste bezwaar is het gebrek aan flexibiliteit in mogelijkheden voor de praktijk. In het wetsvoorstel wordt de bestaande praktijk van de RIEC’s, die nu is gebaseerd op een convenant, op een zo flexibel mogelijke wijze gecodificeerd – binnen de grenzen die de Afdeling advisering stelt. De WGS biedt daarmee een duidelijk juridisch kader voor de praktijk. De bedoeling van de WGS is dan ook dat de RIEC’s hun bestaande praktijk moeten kunnen voortzetten. Daarbij biedt de WGS juist het voordeel dat eventuele twijfel rondom de rechtmatigheid daarvan wordt weggenomen. De regering heeft de zorgen van de stuurgroepen RIEC’s over inflexibiliteit om in te spelen op toekomstige uitdagingen ter harte genomen en het wetsvoorstel naar aanleiding daarvan op belangrijke punten aangepast. Om de RIEC’s tegemoet te komen zijn in de WGS veel mogelijkheden gecreëerd voor innovatie en toekomstige ontwikkelingen. Zo kunnen er bij amvb nieuwe deelnemers aan de RIEC’s worden toegevoegd en kunnen er nieuwe activiteiten worden aangewezen, waaronder geautomatiseerde gegevensanalyse. Ook kunnen er nieuwe taken en bevoegdheden van deelnemers worden aangewezen ten behoeve waarvan de deelnemers gegevens kunnen uitwisselen en kunnen er zelfs nieuwe soorten gegevens worden toegevoegd. Uiteraard zal de uitwerking samen met onder meer de RIEC’s moeten gebeuren en een zorgvuldig proces moeten doorlopen. Nieuwe mogelijkheden voor de RIEC’s zullen ook aan de AVG moeten voldoen.

De regering meent dat de WGS niet compleet is als daarin niet ook voldoende waarborgen worden geregeld ter bescherming van de privacy. Het regelen van waarborgen is ook een belangrijke eis die de Afdeling advisering stelt aan een wettelijke regeling voor gezamenlijke verwerking door samenwerkingsverbanden. Om ook daarin de nodige flexibiliteit voor onder andere de RIEC’s te bereiken, wordt in het wetsvoorstel veelal slechts aangegeven dat er op een bepaald punt een waarborg dient te zijn, maar de verdere invulling van die waarborg kan op lager niveau gebeuren. Zorgen van de burgemeesters en de RIEC’s over de invulling daarvan, kunnen daarom worden geadresseerd bij de voorbereiding van de amvb waarin de waarborgen nader worden uitgewerkt. Gelet op het voorgaande is de regering van mening dat het aangepaste wetsvoorstel een zorgvuldig proces heeft doorlopen, waarbij rekening is gehouden met de bestaande praktijk en de wensen van de RIEC’s.

Vraag 14 (ChristenUnie)

De leden van de ChristenUnie-fractie hebben kennisgenomen van het voorliggende wetsvoorstel. Genoemde leden herkennen de problemen die worden ervaren rondom de uitwisseling van gegevens tussen én binnen samenwerkingsverbanden, hetgeen effectieve bestrijding van ondermijnende criminaliteit in de weg staat. Tegelijkertijd hechten deze leden belang aan artikel 10 van de Grondwet en het daarbij behorende recht op privacy. Genoemde leden vinden het belangrijk dat noodzakelijke inperkingen op dit recht, nu en in de toekomst, op een zorgvuldige wijze verlopen. De aan het woord zijnde leden constateren dat het huidig wettelijk kader voor de verwerking en het delen van gegevens door samenwerkingsverbanden niet volstaat. In de memorie van toelichting worden hier ook een aantal voorbeelden van gegeven. Een wettelijke grondslag is wat betreft deze leden dan ook op zijn plaats.

De aan het woord zijnde leden zien ook dat het wetsvoorstel, na advisering door de AP en de Afdeling, fundamenteel is gewijzigd qua structuur en inhoud. Is overwogen deze nieuwe versie voor te leggen ter advisering aan eerdergenoemde organen?

Vraag 15 (ChristenUnie)

Naar aanleiding van het wetsvoorstel is zoals gezegd gekozen voor een andere structuur van het wetsvoorstel waarbij vier clusters van samenwerkingsverbanden zijn opgenomen en wordt aangegeven welke gegevens wel en welke gegevens niet mogen worden gedeeld. Het is mogelijk zowel de clusters als de categorieën gegevens per algemene maatregel van bestuur (AMvB) uit te breiden. Vanuit maatschappelijke organisaties is er zorg over de democratische controle op deze uitbreiding en wordt gesproken van te brede definities en bevoegdheden voor clusters. Vanuit veiligheidsinstanties is juist de zorg geuit over te weinig bewegingsvrijheid en te lange procedures voor uitbreiding. Kan de regering aangeven hoe zij zich op dit spanningsveld beweegt?

Binnen dit spanningsveld is een balans gevonden door de gegevensverwerking van vier (clusters van) samenwerkingsverbanden in het wetsvoorstel zelf te regelen in plaats van bij amvb, namelijk bij een viertal (clusters) van samenwerkingsverbanden die bestendig zijn, belangrijk zijn voor de veiligheid én knelpunten ondervinden die oplossing vergen in de vorm van wetgeving. Weliswaar kunnen volgens het wetsvoorstel vanwege de flexibiliteit daarnaast samenwerkingsverbanden bij amvb worden aangewezen, maar dit is slechts mogelijk binnen de beperkte reikwijdte van hoofdstuk 3 en na toepassing van een bijzondere nahangprocedure bij het parlement.

Wat betreft de vraag welke categorieën gegevens mogen worden gedeeld, is een balans gevonden door alle delegatiegrondslagen die het mogelijk maken om bij amvb de categorieën gegevens uit te breiden, te onderwerpen aan de verplichting om de parlementaire voorhangprocedure te volgen.

Vraag 16 (PvdD)

De leden van de Partij voor de Dieren-fractie hebben ontsteld kennisgenomen van het wetsvoorstel. Zij wijzen dit voorstel met grote overtuiging af. Deze leden zijn hoogst verbaasd dat de regering deze wet alsnog voorlegt gezien die door de Afdeling in een 32 pagina tellend advies beoordeeld wordt als niet effectief, disproportioneel, in strijd met de Grondwet en op te grote afstand geplaatst van het parlement. Een wet die leest als een recept voor (data)misbruik, privacy schendingen, mensenrechtenschendingen en andere grove misstanden. Wat betreft voornoemde leden heeft de coalitie van maatschappelijke organisaties tegen SyRi het in haar advies over deze wet mooi verwoord: «De gerechtelijke uitspraak over SyRi was een streep in het zand. Daar gaat de regering nu met een bulldozer overheen.» De leden vragen de regering met klem het wetsvoorstel in te trekken en daarna ook af te zien van het herformuleren van een soortgelijke wet. Hieronder zullen zij uitgebreid aangeven waarom zij tot dat verzoek zijn gekomen.

Vraag 17 (CDA)

De leden van de CDA-fractie constateren dat vier samenwerkingsverbanden in onderhavig wetsvoorstel een wettelijke basis krijgen. In dat kader vragen deze leden of de regering per samenwerkingsverband middels een of meerdere casussen kan illustreren hoe onderhavig wetsvoorstel een meerwaarde oplevert ten opzichte van de huidige situatie. Daarbij vragen voorgenoemde leden of in deze voorbeelden ook uiteengezet kan worden hoe daarmee het doel van elk van de samenwerkingsverbanden beter behaald kan worden. Kunnen in dit verband de beperkingen van de huidige situatie, beschreven in paragraaf 3.3.2, worden toegelicht?

Het RIEC is een samenwerkingsverband waarin partners in het strafrechtelijke en bestuursrechtelijke domein samenwerken aan de integrale aanpak van georganiseerde criminaliteit. Het is voor de integrale aanpak van georganiseerde criminaliteit van groot belang dat betrokken overheden relevante informatie met elkaar kunnen delen. Goede informatiedeling stelt hen in staat om hun eigen taken en bevoegdheden optimaal toe te passen. De WGS biedt een duidelijk juridisch kader voor de gezamenlijke verwerking van gegevens door de RIEC’s. De WGS bepaalt welke deelnemers met het oog op de integrale aanpak van georganiseerde criminaliteit gezamenlijk gegevens mogen verwerken, welke gegevens zij mogen verwerken, onder welke voorwaarden zij de gegevens met elkaar en met derden mogen delen en welke waarborgen daarvoor gelden. De deelnemers van de RIEC’s kunnen gezamenlijk gegevens verwerken in het kader van de aanwijzing en analyse van handhavingsknelpunten, het voeren van casusoverleggen en het maken van gebiedscans en thematische scans ter bestrijding van verschijningsvormen van georganiseerde criminaliteit. Dit omvattende kader biedt een goede basis voor de gezamenlijke gegevensverwerking binnen de RIEC’s.

In RIEC-verband werken in gezamenlijkheid partijen als het OM en de politie samen met bestuurlijke partners, zoals het college van burgemeester en wethouders, de Belastingdienst en de IND, in de aanpak van georganiseerde criminaliteit. Bij een goede samenwerking hoort ook het delen van de noodzakelijke informatie en gegevens. In de huidige situatie moet er dan een grondslag zijn voor de verstrekking van bijvoorbeeld de politie aan het college van burgemeester en wethouders, het college van burgemeester en wethouders aan de Belastingdienst, de Belastingdienst aan de IND, de IND etc. Elke verstrekking is uitsluitend mogelijk op basis van veelal bilaterale grondslagen, vastgelegd in sectorale wetgeving. Dat is het wettelijk kader waarbinnen deelnemende partijen nu werken. De huidige constructie schiet dan tekort omdat die geen blijk en uiting geeft aan de breed gedragen maatschappelijke en politieke wens en verwachting dat deze partijen samenwerken in de aanpak van georganiseerde criminaliteit en ten behoeve daarvan ook gezamenlijk gegevens moeten kunnen analyseren.

ICOV stelt op verzoek van een of meer deelnemers rapportages op waaruit opgemaakt kan worden waar mogelijk crimineel of fiscaal ontdoken vermogen wordt verborgen. Ook kan daaruit worden opgemaakt welke figuren zich hier mogelijk mee bezig houden. Deze rapportages kunnen bijdragen aan de bestrijding van onder meer witwassen, belastingontduiking, fraudebestrijding, inning van overheidsvorderingen en de bevordering en bewaking van correcte marktwerking.

Nu voert iCOV rapportages nog uit op basis van de bestaande wettelijke bevoegdheden van de desbetreffende individuele deelnemer en bestaande bilaterale grondslagen voor gegevensverstrekking. Geheimhoudingsplichten vormen nu een knelpunt om voor die rapportages data van verschillende deelnemers te combineren. In de WGS is een wettelijke basis opgenomen die expliciteert dat de door deelnemers verstrekte gegevens voor die rapportages gecombineerd mogen worden in het kader van het doel van het samenwerkingsverband. De WGS bevat in dit verband een uitzondering op geheimhoudingsplichten die het toelaten dat een ander wettelijk voorschrift daarop een uitzondering maakt, en bij sommige geheimhoudingsbepalingen waar dat niet het geval is, voegt de WGS een exceptie toe in de betreffende sectorale wet. Daarnaast maakt de WGS bij iCOV de uitvoering van een deels nieuwe methode mogelijk: de iRT compact. Zoals in paragraaf 4.2 van de memorie van toelichting uiteengezet, kan het hierbij gaan om op verzoek van een deelnemer opgestelde themarapportages over bijvoorbeeld witwassen via vastgoed in een bepaald geografisch gebied, waarbij bepaalde subjecten en objecten (bedrijven) weer van een naam en andere identificerende gegevens worden voorzien. Vervolgens worden het vermogen, het inkomen en het netwerk geanalyseerd. Een iRT compact kan aldus sturingsinformatie bieden die afzonderlijke deelnemers helpt bij een efficiëntere en effectievere invulling van de eigen taak.

Veel criminaliteits- en veiligheidsvraagstukken komen voort uit sociale en/of zorgproblematiek. Zorg- en Veiligheidshuizen richten zich op complexe casuïstiek die niet door één deelnemer of keten alleen kan worden opgelost. De gegevensuitwisseling die noodzakelijk is bij samenwerking momenteel uitermate complex. Dat komt omdat de deelnemers van Zorg- en Veiligheidshuizen uit verschillende domeinen komen en dus gebonden zijn aan verschillende wet- en regelgeving. De huidige regelgeving biedt geen kader voor deze gezamenlijke verwerking van gegevens die plaatsvindt tijdens een casusoverleg, waardoor de deelnemers per casus steeds vooraf moeten nagaan of elke andere deelnemer aan het casusoverleg wel een voldoende grondslag heeft om kennis te mogen nemen van de gegevens die zij inbrengen. Deze werkwijze hindert het samenbrengen van informatie van verschillende partijen om een goed beeld van de persoonsgerichte casuïstiek te vormen, wat nodig is om een integraal plan van aanpak op te kunnen stellen. Hierdoor kan essentiële informatie buiten beeld blijven. Daarom moeten Zorg- en Veiligheidshuizen gegevens makkelijker kunnen verwerken om beter te kunnen samenwerken en af te stemmen tussen deelnemers. Dit wetsvoorstel biedt een expliciet juridisch kader dat het mogelijk maakt voor partijen die samenwerken binnen de Zorg- en Veiligheidshuizen gegevens uit te wisselen ter uitvoering van de werkzaamheden.

Hierna wordt een aantal voorbeelden gegeven van situatie waarin de gegevensuitwisseling die noodzakelijk is bij samenwerking momenteel uitermate complex is.

Zorg- en Veiligheidshuizen behandelen uiteenlopende casussen van complexe aard. Een casus kan een gezin betreffen met meerdere kinderen uit eerdere relaties, waarbij er onder andere sprake is van huiselijk geweld. Het gezin is bekend bij meerdere instanties. Na weer een incident is de moeder met een aantal van de kinderen overgeplaatst naar een tijdelijke woning. Daarnaast is ze laaggeletterd waardoor ze niet goed voor zichzelf en haar kinderen kan zorgen. Gezien de complexiteit van de situatie is het lastig voor betrokken partijen om separaat van elkaar een goede aanpak te realiseren, zoals woonruimte, ondersteuning bij de opvoeding en het waarborgen dat de kinderen naar school (blijven) gaan. Daarom wordt de casus opgepakt door een Zorg- en Veiligheidshuis waarin verschillende partners met elkaar samenwerken. Het wetsvoorstel biedt een grondslag voor betrokken partijen om binnen een Zorg- en Veiligheidshuis relevante gegevens met elkaar te delen. Ook de afspraken over het delen van gegevens zijn helder vastgelegd. Daardoor kan vanuit het Zorg- en Veiligheidshuis snel en efficiënt een passend behandelplan opgesteld worden.

Het kan ook een jongen betreffen, die bij zijn moeder woont en al lange tijd in beeld is bij politie en hulpverleningsinstanties vanwege zijn gedrag. Harde diagnoses ontbreken, maar er is een sterk vermoeden van LVB-problematiek (licht verstandelijke beperking) en een persoonlijkheidsstoornis. Hij weigert hulp. Ondertussen dreigt hij uit huis te worden gezet wegens overlast. Zonder interventies is het wachten op een strafbaar feit of een verder verergeren van de situatie totdat hij eindelijk gaat inzien dat het zo niet langer kan. Zodra politie, gemeente en hulpverleningsinstanties (zoals jeugdzorg) deze situatie openlijk kunnen bespreken en een duidelijke wettelijke grondslag hebben om gegevens met elkaar te delen, kan er sneller naar een oplossing gezocht worden zonder dat de situatie hoeft te escaleren.

Het kan ook jongeren betreffen die door de politie zijn aangemeld bij een Zorg- en Veiligheidshuis. De jongeren worden verdacht van het plegen van zware delicten. Sommigen zijn bekend bij de politie, sommigen zijn voor de eerste keer in aanraking gekomen met de politie. De politie wil graag meer duidelijkheid krijgen over welke organisaties er betrokken zijn bij deze jongeren. Bij het Zorg- en Veiligheidshuis kan deze situatie verder worden onderzocht. Door het snel(ler) in beeld krijgen van de relevante informatie over deze jongeren, omdat ze bijvoorbeeld bij gemeenten, reclassering en/of zorginstanties bekend zijn, kan vanuit het Zorg- en Veiligheidshuis per jongere een passend behandelplan worden opgesteld en kan op de groep als geheel stevig worden ingezet (zowel strafrechtelijk als met bestuurlijke maatregelen).

Vraag 18 (D66)

De leden van de D66-fractie zijn van mening dat in de discussie over het delen van informatie vaak sprake is van een tegenstelling tussen zij die menen dat er veel (juridische) belemmeringen bestaan bij het delen van informatie en zij die stellen dat er juist heel veel mogelijk is, maar in de praktijk niet altijd van de mogelijkheden wordt gebruik gemaakt. Deze leden missen de analyse van de regering op dit punt. Welke praktische belemmeringen worden er nu precies opgelost met dit wetsvoorstel? Zijn de belemmeringen die in de praktijk worden ervaren hiermee in de toekomst inderdaad opgelost?

De regering ziet dat vele voorwaarden die worden gesteld aan het uitwisselen van persoonsgegevens inderdaad als belemmering worden ervaren. Veel van die zogenaamde «belemmeringen» zijn evenwel als voorwaarden aan te merken die de regering terecht vindt. Het gaat dan om waarborgen die wettelijk zijn vastgelegd om persoonsgegevens te beschermen, zoals het transparantiebeginsel en het principe van dataminimalisatie. Het wetsvoorstel brengt in dergelijke voorwaarden dan ook geen verandering. Sterker nog, het voorstel bevat, gelet op de risico’s die aan de gezamenlijke gegevensverwerking door samenwerkingsverbanden kunnen zijn verbonden, ook extra waarborgen tegen dergelijke risico’s.

Een en ander neemt niet weg dat er ook belemmeringen worden ervaren die het gevolg zijn van onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden om gezamenlijk gegevens te verwerken. Zoals onder meer uit het advies van de Afdeling advisering van de Raad van State valt op te maken, ligt de oorzaak daarvan voor een belangrijk deel in het ontbreken van een specifieke wettelijke grondslag voor die gezamenlijke gegevensverwerking, met name als die een (deels) domeinoverstijgend karakter heeft. Dit leidt tot handelingsverlegenheid waar die niet zou hoeven te bestaan. De Afdeling advisering bevestigt dat bestuursorganen die gegevens hebben over ernstige en ondermijnende criminaliteit, die gegevens moeten kunnen uitwisselen met elkaar en ook met private partijen, en onderschrijft dan ook nut en noodzaak van een wettelijke regeling als grondslag voor dergelijke gegevensuitwisselingen.4

Tegen deze achtergrond biedt het wetsvoorstel vooral een adequate juridische grondslag voor bestaande verwerkingsactiviteiten van samenwerkingsverbanden. Het heeft in zoverre een codificerend karakter. Daarnaast neemt het ook een aantal specifieke belemmeringen weg. Het betreft de volgende belemmeringen met telkens vermelding van de oplossing in het wetsvoorstel:

• • Veelal ontbreekt een heldere basis om gegevens voor het doel van het samenwerkingsverband als zodanig te verstrekken. De deelnemende partijen zijn daarom vaak gehouden de noodzaak van verstrekking aan andere deelnemers steeds per individuele deelnemer aan te tonen. Dit knelpunt wordt opgelost door de verstrekkingsgrondslagen in artikel 1.5, eerste lid, eerste volzin, en die, genoemd in het tweede lid van dat artikel.

• • Deelnemers aan een samenwerkingsverband zijn op basis van de vigerende geheimhoudingsbepalingen meestal gehouden de door hen individueel ontvangen gegevens vertrouwelijk te behandelen. Deze eis staat in de weg aan een gezamenlijke gegevensverwerking binnen zo’n verband. Dit knelpunt wordt in de eerste plaats opgelost door gebruikmaking van de in sommige bestaande geheimhoudingsbepalingen opgenomen mogelijkheid om bij wettelijk voorschrift daarvan af te wijken. Zie daarvoor artikel 1.5, eerste lid, tweede volzin.5 Voor zover een specifieke geheimhoudingsbepaling van toepassing is die het niet toelaat dat een ander wettelijk voorschrift daarop een uitzondering maakt, voegt hoofdstuk 4 een elftal uitzonderingen toe aan de sectorale wetten die dergelijke geheimhoudingsbepalingen bevatten. Voegt hoofdstuk 4 geen uitzondering toe aan een geheimhoudingsbepaling van dat type, dan geldt die onverkort. Dat is onder meer van belang in geval van absolute geheimhoudingsbepalingen die uit het internationale recht voortvloeien.

• • Sectorale wetten bevatten veelal geen duidelijke, op samenwerkingsverbanden toegesneden, grondslagen voor verstrekking aan en verdere verwerking van gegevens door samenwerkingsverbanden waaraan ook een of meer private partijen deelnemen, terwijl dat met het oog op de behartiging van een doel van zwaarwegend algemeen belang wel wenselijk kan zijn. Dit knelpunt wordt opgelost door de basis die in artikel 1.3 is neergelegd voor deelname door private partijen.

• • De verstrekking van de resultaten van de verwerking vanuit samenwerkingsverbanden heeft thans vaak een niet heel duidelijke grondslag als gevolg van het feit dat de grondslag voor de verstrekking van gegevens aan en de verwerking daarvan binnen een samenwerkingsverband ook al niet heel duidelijk is of niet op het samenwerkingsverband is toegesneden. In de artikelen 1.5 en 1.6 zijn daarvoor goede grondslagen opgenomen, alsmede in artikel 1.7 ook voor de verstrekking van de resultaten van de verwerking vanuit samenwerkingsverbanden.

• • Samenwerkingsverbanden stuiten soms op het probleem dat een verstrekking van gegevens aan dat verband door een van de deelnemers en de verwerking daarvan binnen het verband in onvoldoende mate beantwoordt aan het principe van doelbinding. Dit principe kan op gespannen voet staan met het uitgangspunt van de integrale, multidisciplinaire benadering door een samenwerkingsverband. De WGS bewerkstelligt dat verstrekking van persoonsgegevens door een deelnemer aan het samenwerkingsverband voor het doel van dat verband, weliswaar samenhang moet vertonen, maar niet per se verenigbaar hoeft te zijn met de oorspronkelijke doeleinden waarvoor de persoonsgegevens worden verwerkt.6 De verwerking van persoonsgegevens voor een dergelijk niet verenigbaar doel is op grond van de AVG toegestaan, mits is voorzien in een deugdelijke wettelijke grondslag (artikel 6, vierde lid, AVG).

Overigens zijn de hier genoemde grondslagen in hoofdstuk 2 van het wetsvoorstel nog verder uitgewerkt.

Vraag 19 (SP)

De leden van de SP-fractie vragen de regering aan de hand van voorbeelden duidelijk te maken waarom de in dit wetsvoorstel gekozen vorm, met samenwerkingsverbanden en een verplichting om gegevens te delen, de enige juiste manier is om de betreffende maatschappelijke problemen op te lossen. Om welke maatschappelijke problemen gaat het bijvoorbeeld? Waarin en op welke onderdelen faalt de aanpak nu? Komt dat dan slechts door de barrières om informatie te delen of speelt geregeld ook een capaciteitsprobleem en te weinig menskracht daarin een rol? Wat kan nu niet in de aanpak dat straks wel kan? Kon dat niet op een andere, minder bezwaarlijke en minder vergaande manier worden geregeld? Graag zien voornoemde leden meerdere aansprekende voorbeelden tegemoet die deze vragen beantwoorden.

Vraag 20 (SP)

Voorts vragen de aan het woord zijnde leden of kan worden verduidelijkt wat nu precies het doel van de wet is. Met andere woorden: wat wil de regering bereiken door gegevensverwerking door samenwerkingsverbanden te regelen op de manier die ze in deze wet voorstelt en hoe kan bijvoorbeeld over een jaar, twee jaar, of vijf jaar beoordeeld worden of de wet inderdaad het gewenste effect heeft gehad? Graag ontvangen deze leden een zo precies mogelijk antwoord, bijvoorbeeld: x aantal procent meer vervolgingen; afname van x aantal procent georganiseerde criminele ondernemingen, etc.

Vraag 21 (PvdD)

De leden van de Partij voor de Dieren-fractie delen de mening, zoals waarschijnlijk eenieder, dat fraude, diefstal of criminaliteit, in welke vorm dan ook, ongewenst is. Zij zijn echter niet van mening, zoals de regering dat wel lijkt, dat het bestrijden van bijvoorbeeld toeslagenfraude of winkeldiefstal een doel van dermate zwaarwegend algemeen belang is dat het terzijde schuiven van grondwettelijk beschermde grondrechten gerechtvaardigd is. Dit wetsvoorstel maakt het echter mogelijk voor zulke doelen de Grondwet en mensenrechten te schenden. Deze leden beoordelen dit als ongekend disproportioneel.

Voornoemde leden willen de regering wijzen op eerdere situaties waarin er een stevige disbalans was tussen het ingezette instrument en de daadwerkelijke misstand. Zij roepen daar het meest recente voorbeeld toe in herinnering. Het recente leed dat is veroorzaakt in het bestrijden van mogelijke fraude met kinderopvangtoeslagen staat in geen verhouding tot de daadwerkelijke fraude. Het is bewijs dat de inzet ter bestrijding van fraude schadelijker kan zijn dan de fraude zelf. Kan de regering daarop reflecteren? Fraude moet bestreden worden maar dan wel met middelen (zoals meer mankracht) die effectief zijn, zo min mogelijk negatieve impact hebben, onder controle van de volksvertegenwoordiging staan en de privacy en de Grondwet respecteren. Dit wetsvoorstel laat dit op alle bovenstaande punten na.

Vraag 22 (PvdD)

In het beschrijven van de noodzaak wordt verder veel aandacht besteed aan het feit dat momenteel een heldere basis voor samenwerkingsverbanden (en de gegevensuitwisseling die daar nu reeds plaatsvindt) ontbreekt, zo constateren de leden van de Partij voor de Dieren-fractie. Is bij de regering bekend of er op dit moment samenwerkingsverbanden zijn die, in strijd met de huidige wetgeving, gegevens uitwisselen? Kan de regering aangeven om welke samenwerkingsverbanden het gaat? Acht de regering het wenselijk dat deze partijen op dit moment de wet overtreden? Is er sinds dit bekend is opgetreden tegen deze samenwerkingsverbanden? Zo nee, waarom niet? Was men daartoe niet verplicht?

Vraag 23 (PvdD)

De Afdeling beschrijft in haar advies dat de huidige samenwerkingsverbanden slechts functioneren op basis van zelf opgestelde protocollen en er maar één samenwerkingsverband is dat een wettelijke basis kent (namelijk SyRi). Kan de regering daarop reageren?

Vraag 24 (PvdD)

Hoe beziet de regering haar wetsvoorstel met de kennis dat juist het ene samenwerkingsverband met een wettelijke basis door de rechtbank Den Haag in de uitspraak van 5 februari 2020 (ECLI:NL:RBDHA:2020:1878) als strijdig met het Europees Verdrag voor de Rechten van de Mensen en de Fundamentele Vrijheden (EVRM) beoordeeld is? In welk opzicht beoordeelt zij haar inzet met het wetsvoorstel anders dan de inzet bij SyRi?

De uitzondering op deze verplichting die inhoudt dat van deze uitleg aan het publiek kan worden afgezien voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen verzetten, moet volgens de regering restrictief worden uitgelegd. Bij deze zwaarwegende redenen moet in ieder geval worden gedacht aan de situatie waarin het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of dat de informatieverstrekking de verwezenlijking van de doeleinden van de gegevensverwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Als door het geven van voor het publiek toegankelijke wijze informatie bijvoorbeeld (volledig) bekend wordt hoe een profiel werkt, is er het risico dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van het profiel en de effectiviteit van het toezicht worden verminderd.

Daarnaast geldt dat met het gebruik van de woorden «voor zover» is beoogd te regelen dat de informatieverstrekking minder specifiek kan zijn als er zwaarwegende redenen zijn. Nadrukkelijk is niet beoogd dat dan geen informatieverstrekking plaatsvindt.

Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie van het samenwerkingsverband.

Vraag 25 (PvdD)

De leden van de Partij voor de Dieren-fractie lezen in de memorie van toelichting dat het uitwisselen van data noodzakelijk is om te komen tot een zo efficiënt mogelijke aanpak. Met data wil de regering tot een efficiëntere aanpak komen van elk denkbaar probleem van winkeldiefstal tot fraude en terrorisme. Welke reden heeft de regering te denken dat op basis van de samenwerkingsverbanden tot een efficiëntere aanpak gekomen kan worden? Wordt door de regering alleen op efficiëntie gestuurd of zijn er ook nog andere belangen? Is ook overwogen om te komen tot een iets minder efficiënte maar ook minder ingrijpende aanpak? Zoals eerder door deze leden beschreven krijgt de proportionaliteit niet altijd voldoende aandacht. Het feit dat iets efficiënter zou kunnen wil niet zeggen dat het ook wenselijk is. Een verpleegkundige zou een patiënt heel efficiënt kunnen wassen door er een emmer water overheen te gooien. Of dat ook wenselijk is laat zich raden.

Dat data op dit moment soms niet «efficiënt» gedeeld kunnen worden wordt door de regering gezien als belemmering. Kan zij ingaan op de volgende stelling van de AP: «Waar in de memorie van toelichting sprake is van «belemmeringen» is evenzogoed sprake van «belangrijke waarborgen»»? Deelt de regering de stelling dat data delen nu als lastig gezien wordt omdat voldaan moet worden aan belangrijke waarborgen die misbruik van die data voorkomen? Zo nee, waarom niet? Wat heeft de regering gedaan met deze kritiek van de AP die eigenlijk als bijl aan de wortel van het wetsvoorstel ligt?

Vraag 26 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering bekend is met de publicatie «Pretenties van predictive policing, data zonder daadkracht» gepubliceerd in Cahiers Politiestudies 2020, waaruit blijkt dat de Nederlandse overheid al vele jaren teveel vertrouwd op de inzet van data in plaats van mankracht. Uit deze publicatie blijk dat die inzet veel minder effectief bleek dan beloofd en ernstige gevolgen kan hebben voor de rechtstaat en grondrechten zoals privacy. Een beleidsinzet die overigens ook vaak tot opsporings- en handhavingsinzet leidt die bovengemiddeld gericht is op etnische minderheden. Deelt de regering de conclusie dat er juist teveel op data vertrouwd wordt en te weinig op menskracht? Deelt de regering de conclusie dat de inzet op steeds meer data gevaren met zich meebrengt voor de rechtstaat, grondrechten en (etnische) minderheden? Acht zij dat wenselijk? Zo nee, wat gaat zij doen om dit te voorkomen? In het geval de regering de conclusies van de publicatie niet deelt, kan worden aangeven op basis waarvan de regering tot een andere mening komt?

Vraag 27 (PvdD)

De aan het woord zijnde leden vragen of de regering de mening deelt dat een van de andere doelen van het wetsvoorstel, namelijk het bestrijden van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen, op dit moment overduidelijk niet gebaat is bij meer geautomatiseerde data-analyses. Zo nee, waarom niet? Is de regering niet bekend met de schrijnende voorbeelden van burgers die zonder aanleiding en onterecht op zwarte lijsten terecht kwamen.? Dit waren zwarte lijsten die niet verantwoord konden worden en burgers wel ernstig in de problemen brachten.7

Het wetsvoorstel voorziet in aanvullende waarborgen en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van deze wet te kunnen stellen (artikel 1.8 en volgende). Door naleving van deze kaders, in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties als bij de toeslagenaffaire voorkomen.

Om te controleren of deze verplichtingen en waarborgen daadwerkelijk in acht worden genomen, is voorzien in een systeem van checks and balances. De verplichte rechtmatigheidsadviescommissie (artikel 1.8, zesde lid) heeft tot taak de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen. Met de voorgestelde verplichting tot privacy audits is voorzien in een periodieke rechtmatigheidscontrole (artikel 1.10). Daarnaast is voorzien in onafhankelijk toezicht door de Autoriteit persoonsgegevens, de functionarissen voor gegevensbescherming en de coördinerend functionaris voor gegevensbescherming van het samenwerkingsverband.

Vraag 28 (CDA)

De leden van de CDA-fractie constateren dat de AP in haar aanvullend advies stelt dat de AMvB’s een voorhangprocedure dienen te krijgen. Het uiteindelijke wetsvoorstel bevat een systematiek van AMvB’s die een bijzondere nahangprocedure kennen. Wat is de reden voor het niet kiezen voor een voorhangprocedure, maar een bijzondere nahangprocedure?

Bij een nahangprocedure van een amvb waarbij een samenwerkingsverband wordt aangewezen wordt niet een ontwerp van de amvb, maar een vastgestelde amvb aan het parlement voorgelegd, voordat deze in werking kan treden. Voordeel hiervan is dat het parlement beschikt over het advies van de Afdeling advisering van de Raad van State met het nader rapport en aldus beschikt over alle relevante stukken.

Bij een voorhangprocedure is dit anders, aangezien die voorafgaat aan de adviesaanvraag aan de Afdeling advisering.

Vraag 29 (D66)

Het valt de leden van de D66-fractie op dat het wetsvoorstel zeer veel delegatiebepalingen bevat. Daardoor is voor deze leden lastig te overzien wat precies de gevolgen zijn. Hoewel zij begrip hebben voor de noodzaak tot flexibiliteit en niet alles op het niveau van een wet in formele zin hoeft te worden geregeld, vragen deze leden de regering nader in te gaan op de vraag of alle delegatiebepalingen wel strikt noodzakelijk zijn.

Vraag 30 (D66)

De aan het woord zijnde leden lezen dat de regering naar aanleiding van het advies van de Afdeling heeft besloten een viertal samenwerkingsverbanden bij wet te regelen en de mogelijkheid nieuwe samenwerkingsverbanden bij AMvB aan te wijzen te koppelen aan een nahangprocedure, waarbij een van beide kamers van de Staten-Generaal bij meerderheid kan beslissen de instelling van dat samenwerkingsverband bij wet te regelen. Voornoemde leden vinden dat een stap vooruit, omdat daarmee de rol van het parlement bij dit belangrijke onderwerp wordt versterkt. De aan het woord zijnde leden vragen wel waarom de regering kiest voor een nahangprocedure en niet gewoon voor het indienen van een voorstel tot wijziging van de wet, indien zij van mening is dat een samenwerkingsverband zou moeten worden toegevoegd. Zou een dergelijke procedure niet meer recht doen aan de noodzaak voor een degelijke wettelijke grondslag en de afweging tussen het belang van het delen van informatie en het belang van het bestrijden van ernstige georganiseerde criminaliteit?

De leden van de D66-fractie vragen waarom onderscheid wordt gemaakt tussen de vier bestaande samenwerkingsverbanden (die wel een formeel wettelijke grondslag krijgen) en andere samenwerkingsverbanden, waarbij een AMvB volstaat? Ook de AP, het College voor de Rechten van de Mens en het NJCM vragen in hun adviezen hier aandacht voor. Waarom is niet voor dezelfde route gekozen als de vier bestaande samenwerkingsverbanden: een formeel wettelijke grondslag? Door de aanwijzing van samenwerkingsverbanden via AMvB wordt de materiele reikwijdte van deze wet fors verbreedt, door samenwerkingsverbanden via brede doelen van zwaarwegend belang onder hoofdstuk 3 toe te staan.

In dit wetsvoorstel is getracht een balans te vinden tussen enerzijds het bieden van de noodzakelijke waarborgen, waaronder ook de betrokkenheid van het parlement, en anderzijds het creëren van de mogelijkheid om bij een zwaarwegend algemeen belang voortvarend en effectief in te kunnen spelen op grote knelpunten in de praktijk. Deze balans komt tot uitdrukking in de keuze om de gegevensverwerking van vier bestendige samenwerkingsverbanden in het wetsvoorstel te regelen. De mogelijkheid om bij amvb bepaalde samenwerkingsverbanden te kunnen aanwijzen, is opgenomen om de volgende redenen:

• – Snelheid en flexibiliteit. Het maken van amvb’s voor samenwerkingsverbanden gaat sneller dan telkens een nieuwe wet maken. Doorontwikkeling van techniek, beveiliging en data-analyse en de aanpassingssnelheid van criminelen aan diezelfde ontwikkelingen vergen extra snelheid en grotere flexibiliteit, zoals ook door de leden van de CDA-fractie is opgemerkt.

• – Het is niet alleen aan de regering, maar ook aan het parlement als medewetgever om te bepalen of zij een samenwerkingsverband al dan niet in de wet geregeld wil hebben. Een nahangprocedure verzekert dat de Tweede Kamer hierover een oordeel kan vellen bij elke amvb waarin een samenwerkingsverband wordt aangewezen.

Vraag 31 (GroenLinks)

De leden van de GroenLinks-fractie begrijpen de opzet van een kaderwet, maar betreuren het dat de beoordelingscriteria voor bijvoorbeeld het bepalen van het zwaarwegend algemeen belang om gegevens in samenwerkingsverbanden te delen niet in de wet zelf worden opgenomen. Ook de voorwaarden en beperkingen die aan verwerking kunnen worden gesteld worden in het wetsvoorstel bij AMvB en niet bij wet geregeld. Deze leden vragen de regering te beargumenteren waarom dit soort essentiële randvoorwaarden niet in deze kaderwet thuishoren.

Het oorspronkelijke wetsvoorstel had het karakter van een kaderwet, maar mede naar aanleiding van het advies van de Afdeling advisering van de Raad van State is daarvan afgestapt en worden de vier belangrijkste samenwerkingsverbanden in het wetsvoorstel zelf uitgewerkt. Het wetsvoorstel bevat weliswaar delegatiegrondslagen voor de voorwaarden en beperkingen die aan de gegevensverwerking worden gesteld, maar deze zijn aanvullend van aard: ook het wetsvoorstel zelf stelt voorwaarden en beperkingen aan de gegevensverwerking. Zo bevat het wetsvoorstel voorwaarden en beperkingen aan de doelen waarvoor samenwerkingsverbanden gegevens mogen verwerken, de aanwijzing van deelnemers, de bevoegdheden van de deelnemers, de positie van private partijen en de verantwoordelijkheden van de deelnemers. Daarnaast bevat het wetsvoorstel diverse waarborgen, evenals materiële regels over gegevensverwerkingen.

De beoordelingscriteria voor het bepalen van een zwaarwegend algemeen belang bij samenwerkingsverbanden die bij amvb kunnen worden aangewezen, zijn in artikel 3.1 opgenomen:

• a. het voorkomen en bestrijden van ernstige vormen van criminaliteit;

• b. het voorkomen en bestrijden van grootschalig of systematisch onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen; of

• c. het voorkomen en bestrijden van grootschalige of systematische ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer.

Of daadwerkelijk sprake is van een zwaarwegend algemeen belang, moet worden getoetst aan de hand van een belangenafweging tussen het belang dat gediend wordt met de gezamenlijke verwerking van persoonsgegevens en het belang van de persoonlijke levenssfeer van degenen op wie de persoonsgegevens betrekking hebben. Bij deze belangenafweging moeten ook de beginselen van proportionaliteit en subsidiariteit worden betrokken. Het is lastig om de beoordelingscriteria voor een zwaarwegend algemeen belang nader te concretiseren in de wet, omdat deze van de context afhankelijk zijn en in de loop van de tijd zich verder kunnen ontwikkelen. Een en ander laat onverlet dat de regering ertoe is gehouden om in de nota van toelichting bij een amvb op grond van hoofdstuk 3, een concrete onderbouwing te geven van de aanwezigheid van het zwaarwegend algemeen belang dat voor een specifiek samenwerkingsverband de verwerking van persoonsgegevens rechtvaardigt. In de vorm van een nahangprocedure kan ook het parlement zich hierover uitspreken.

Vraag 32 (GroenLinks)

Kent de regering daarnaast het fenomeen van overdreven techno-optimisme? Hoe wil zij ervoor zorgen dat sprake is van techno-realisme?

Ongerechtvaardigd techno-optimisme in de zin dat technologie alle problemen oplost, is niet verstandig. Wanneer echter bij voorbaat moderne technieken zouden worden uitgesloten om bepaalde risico’s met betrekking tot individuele personen in beeld te brengen, zou het gevolg zijn dat kansen worden gemist en dat het functioneren van sommige samenwerkingsverbanden suboptimaal blijft. Moderne technieken zijn bij sommige samenwerkingsverbanden noodzakelijk om veiligheidsrisico’s in kaart te brengen, zoals bijvoorbeeld bij iCOV, om risico’s inzake witwas- of fraudeconstructies boven water te krijgen. Er moet echter voor gewaakt worden dat de nieuwe technieken zelf een risico vormen voor bijvoorbeeld de kwaliteit en zorgvuldigheid van het overheidshandelen. Daarom is het noodzakelijk om het gebruik van nieuwe technieken gepaard te laten gaan met behoorlijke waarborgen, en daaraan voorwaarden te verbinden.

Technorealisme is in de literatuur8 omschreven als het aanvaarden van de goede kanten van de nieuwe technologieën, maar het zich er tegelijkertijd van bewust zijn dat technologieën niet neutraal zijn en dat men een scherp oog voor de negatieve kanten moet hebben. Naar realisme wordt voorts gestreefd door goed te kijken naar de effectiviteit en deze te evalueren. Het wetsvoorstel voorziet in een evaluatiebepaling, een verplicht jaarverslag over de effectiviteit (artikel 1.12), een verplichte periodieke privacy audit (artikel 1.10) en de verplichting voor de deelnemers om periodiek de gehanteerde werkwijze te evalueren (artikel 1.7, vijfde lid), inclusief – indien van toepassing – de gehanteerde patronen en indicatoren, ten behoeve van de verbetering van de patronen en indicatoren.

Vraag 33 (GroenLinks)

Voor de aan het woord zijnde leden is de invoering van een horizonbepaling van groot belang. Hoe kijkt de regering hiernaar?

Wij zijn van mening dat het zinvol is om na vijf jaren de afweging te maken of een samenwerkingsverband nog steeds noodzakelijk is en of de wet op de juiste manier functioneert. Het wetsvoorstel is dan ook aangepast met een verplichting om zowel de wet als de amvb’s na vijf jaar te evalueren.

Een horizonbepaling daarentegen acht de regering hier niet op haar plaats. Het gaat immers naar zijn aard niet om een tijdelijk probleem of een tijdelijk fenomeen. Het is duidelijk dat er altijd behoefte zal zijn aan het delen van informatie en dus ook persoonsgegevens. Uiteraard kan uit de evaluatie na vijf jaar wel blijken dat de wet of de onderliggende amvb’s op onderdelen aanpassing behoeven. De procedure daartoe zal dan zo snel mogelijk in gang worden gezet.

Vraag 34 (GroenLinks)

Kan de regering per samenwerkingsverband aangeven wanneer de gegevensdeling een succes is?

Vraag 35 (GroenLinks)

Gezien de impact van gegevensverwerking en -deling voor de rechtspositie en -bescherming van in beginsel onverdachte burgers, zeker als dat in publiek-private samenwerkingsverbanden plaatsvindt, vinden de aan het woord zijnde leden het noodzakelijk dat volledige duidelijkheid bestaat over onder meer het doel van gegevensverwerking, wie onder welke voorwaarden toegang heeft tot gedeelde gegevens, hoe besluitvorming plaatsvindt en welke rol al dan niet (zelflerende) algoritmen daarin hebben, wie toezicht houdt op de rechtmatige gegevensverwerking en hoe burgers inzicht krijgen in de wijze waarop hun gegevens worden gebruikt. Wordt voorafgaand aan een besluit tot datadeling benoemd wat de te verwachten effecten zijn? Worden die effecten ook geëvalueerd? Voornoemde leden trekken de parallel met predictive policing: daar was en is veel enthousiasme voor. Echter, na onderzoek kwam de Politieacademie in 2017 tot de conclusie dat het geen aanwijzingen heeft kunnen vinden dat predictive policing uiteindelijk leidt tot minder (stijgende) criminaliteit (zie «Predictive policing: lessen voor de toekomst», Politieacademie 2017, pag. 41).

De regering stelt voorop dat dit wetsvoorstel geen betrekking heeft op specifieke methoden die door de politie ter ondersteuning aan de uitvoering van haar eigen taak worden ingezet, zoals «predictive policing».

Zoals toegelicht in het antwoord op de vorige vraag, worden de effecten van de gegevensverwerking op diverse wijzen geëvalueerd. Uit artikel 36 van de AVG volgt dat een samenwerkingsverband voorafgaand aan een voorgenomen verwerking van persoonsgegevens de Autoriteit persoonsgegevens moet raadplegen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling een hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Verder voorziet het wetsvoorstel in een evaluatiebepaling (het voorgestelde artikel 5.1), een verplicht jaarverslag over de effectiviteit van het samenwerkingsverband (het voorgestelde artikel 1.12), een verplichte periodieke privacy audit (het voorgestelde artikel 1.10) en de verplichting voor de deelnemers om periodiek de gehanteerde werkwijze te evalueren (het voorgestelde artikel 1.7, vijfde lid).

Vraag 36 (GroenLinks)

De leden van de GroenLinks-fractie begrijpen dat de werkingssfeer van het wetsvoorstel op dit moment is beperkt tot het FEC, de iCOV, de RIEC’s en de ZVH. Bij AMvB kunnen andere samenwerkingsverbanden onder de werkingssfeer van de wet worden gebracht. Voornoemde leden stellen het op prijs dat deze regering afziet van de gedachte van de vorige regering dat voor aanwijzing een convenant volstaat, maar vragen of met het oog op de inperking van grond- en mensenrechten een AMvB voldoende rechtsbasis biedt. De aan het woord zijnde leden bepleiten een formeel wettelijke juridische grondslag voor de aanwijzing van andere samenwerkingsverbanden. Met het oog op de te maken afweging tussen noodzaak en grondrechtenaantasting is de aanwijzing bij wet in formele zin naar het oordeel van deze leden de koninklijke weg, en het niet te laten afhangen van de uitkomst van de voorgestelde nahangprocedure. In de wetenschap dat dit soort wetswijzigingen ook nog eens relatief snel zijn door te voeren, zien de aan het woord zijnde leden niet in dat dit ten koste zou kunnen gaan van de door de regering gewenste flexibiliteit. Graag ontvangen zij een reactie.

Vraag 37 (SP)

De leden van de SP-fractie constateren dat de term AMvB wel zestig keer voorkomt in het wetsvoorstel. Dat feit zegt op zichzelf misschien nog niet alles, maar er wordt wel erg veel overgelaten aan de mogelijkheid om later, in lagere regelgeving, belangrijke besluiten te nemen. Dit betreft onder meer de samenstelling van het verband en de deelnemers, de categorieën gegevens die verstrekt moeten gaan worden, de werkwijze en de respectievelijke verantwoordelijkheden van de deelnemers, de voorwaarden en beperkingen aan de verwerkingen van persoonsgegevens, etc. Dat zijn zeker geen ondergeschikte punten. Waarom is ervoor gekozen om zoveel onderdelen later in te vullen? Waarom is slechts op een enkele plaats gekozen voor een voorhangbepaling?

Vraag 38 (SP)

De aan het woord zijnde leden vragen waarom er niet voor gekozen wordt om bij wet een grondslag op te nemen voor de verstrekking van gegevens aan een samenwerkingsverband, of dit in ieder geval te doen voor de private partijen die deelnemen aan een publiek-privaat samenwerkingsverband. Is het niet juist van belang om zo veel mogelijk waarborgen, duidelijkheid en eenheid te creëren in het beleid wanneer met name private partijen ook deelnemen aan een samenwerkingsverband? Private partijen dienen namelijk in essentie niet per se hetzelfde doel als publieke partijen, namelijk het dienen van de samenleving, zo merken voornoemde leden op.

Vraag 39 (SP)

De aan het woord zijnde leden lezen dat de AP toestemming moet geven voor profilering. Concreet betekent dit dat toestemming niet ziet op elke keer dat deze profilering wordt toegepast, maar dat de toestemming betrekking heeft op een bepaalde profileringsvorm die in de AMvB is vastgelegd. De vorm van profilering wordt dus niet in deze wet geregeld, maar per AMvB. Wat voornoemde leden betreft zou zo iets ingrijpends niet per AMvB geregeld moeten worden. Kan uitgebreid worden verduidelijkt waarom de regering daar anders over denkt? Desalniettemin klinkt dit als een forse taakverzwaring voor de AP. Wordt de AP daarvoor ook gecompenseerd in de vorm van meer budget? Zo nee, waarom niet?

Het wetsvoorstel bevat naar aanleiding van het advies van de Afdeling niet langer een bepaling inzake voorafgaande toestemming van de Autoriteit persoonsgegevens. Een dergelijke rol voor de Autoriteit persoonsgegevens zou betekenen dat de uitvoering van de wet de facto afhankelijk wordt gesteld van de toestemming van de toezichthouder. De Afdeling schreef in haar advies op het onderhavige wetsvoorstel over voorafgaande toestemming: «Deze bepaling is weliswaar gebaseerd op de AVG maar is in de praktijk niet zonder problemen: het houdt in dat de Autoriteit persoonsgegevens intensief wordt betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan. Dat orgaan is bovendien beter op de hoogte van de elementen die op zijn eigen specifieke werkterrein afgewogen moeten worden dan de algemene toezichthouder. Daar komt bij dat het verlenen van toestemming gelet op de complexiteit van de materie en de verschillende belangen die in het geding zijn, een omvangrijk onderzoek noodzakelijk zal maken.»

Om wel te voorzien in aanvullende waarborgen, zijn diverse andere waarborgen toegevoegd aan het wetsvoorstel. Dat doet het wetsvoorstel, door bijna twintig waarborgen te regelen, zoals toegelicht in paragraaf 3.4 van de memorie van toelichting. Te wijzen valt – onder veel meer – op de verplichte rechtmatigheidsadviescommissie en de verplichte periodieke privacy audits.

Het bestaande instrument van voorafgaande raadpleging van de Autoriteit persoonsgegevens biedt overigens een voldoende waarborg dat de Autoriteit persoonsgegevens wordt geraadpleegd indien daartoe aanleiding is. Zoals toegelicht in paragraaf 3.5 houdt dat in dat verwerkingsverantwoordelijken op grond van artikel 36, eerste lid, van de AVG verplicht zijn de Autoriteit persoonsgegevens te «raadplegen» over een voorgenomen verwerking van persoonsgegevens wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling is dat er sprake is van een hoog risico wanneer het samenwerkingsverband geen maatregelen zou nemen om het risico te beperken. Deze voorafgaande raadpleging geldt nu reeds, ongeacht de vraag of sprake is van samenwerkingsverbanden. Het wetsvoorstel brengt geen aanvulling of wijziging in de rol van de Autoriteit persoonsgegevens.

Bij de voorafgaande raadpleging van de Autoriteit persoonsgegevens zijn twee uitkomsten mogelijk.

• – De voorafgaande raadpleging leidt niet tot een advies van de Autoriteit persoonsgegevens. Dit is het geval wanneer er toch geen sprake is van een hoog restrisico, of wanneer er voldoende maatregelen zijn genomen om de risico’s te verminderen. In dat geval is er geen beletsel om te beginnen met de voorgelegde verwerking van de persoonsgegevens.

• – De voorafgaande raadpleging leidt wel tot een advies van de Autoriteit persoonsgegevens. In het advies geeft de Autoriteit persoonsgegevens aan welke maatregelen/veranderingen er nodig zijn. Hoewel de term «advies» de indruk wekt dat dit niet bindend is, legt de Autoriteit persoonsgegevens de AVG zodanig uit dat handhavend kan worden opgetreden «als na afloop van de voorafgaande raadpleging blijkt dat een verwerkingsverantwoordelijke is begonnen met de verwerking in strijd met het gegeven advies».9

Ongeacht de exacte status van het advies van de Autoriteit persoonsgegevens, laat dit onverlet dat de Autoriteit persoonsgegevens te allen tijde de bevoegdheid behoudt om zelfstandig of op verzoek toezicht te houden. Uit overweging 94 van de AVG blijkt dat zelfs indien de Autoriteit persoonsgegevens bij de voorafgaande raadpleging geen aanleiding zag om een advies uit te brengen, er later toch nog handhavend kan worden opgetreden: «Het uitblijven van een reactie van de toezichthoudende autoriteit binnen die termijn dient evenwel een optreden van de toezichthoudende autoriteit overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden.»

Vraag 40 (ChristenUnie)

Vanuit de eerste zorg hebben de leden van de ChristenUnie-fractie onder meer vragen over de keuze voor een nahangprocedure. Lezen zij het goed dat de nahangprocedure voor elke uitbreiding zou gelden? Heeft de regering overwogen als uitgangspunt een voorhangprocedure te hanteren en enkel in uitzonderlijke gevallen, goed beargumenteerd, over te gaan tot een nahangprocedure?

Vraag 41 (PvdD)

De leden van de Partij voor de Dieren-fractie vinden het zorgwekkend en onwenselijk dat de regering ervoor kiest het wetsvoorstel vorm te geven als kaderwet. Bij kaderwetgeving wordt wetgeving dermate ruim opgezet dat de daadwerkelijke uitwerking in lagere vormen van besluitvorming, en daarmee buiten de medewetgevende macht van het parlement, plaatsvindt. Waarom is voor deze aanpak gekozen gezien het een wet is die zo’n fundamentele inbreuk maakt (of gaat maken) op grondrechten?

De regering is vast bekend met de kritiek op kaderwetgeving die de Afdeling al een aantal jaren achter elkaar verwoord. Voornoemde leden vragen wat de regering hiermee heeft gedaan. Waarom heeft zij ervoor gekozen na kritiek op dit punt enkele clusters van samenwerkingsverbanden in de wet onder te brengen, maar het kaderwetgevende karakter van de wet verder in stand te laten? Is de regering van mening dat daarmee een heldere juridische basis voor samenwerkingsverbanden wordt gecreëerd? Is de regering bereid het wetsvoorstel opnieuw aan de Afdeling voor te leggen? Zo nee, waarom niet?

Vraag 42 (PvdD)

Voornoemde leden vragen of de regering de kritiek deelt, zoals verwoord door meerdere partijen, dat elk samenwerkingsverband, indien dit gewenst geacht zou zijn, een aparte wet zouden behoeven. Zo nee, waarom niet?

Vraag 43 (PvdD)

Deelt de regering de kritiek, zoals bijvoorbeeld verwoord door het College voor de Rechten van de Mens, dat de discretionaire bevoegdheid onder deze wet veel te ruim is? Zo nee, waarom niet? Deelt de regering ook de zorgen van het College dat met het wetsvoorstel de eerste stap op een glijdende schaal gezet wordt aangezien de reikwijdte van het wetsvoorstel vele malen verder reikt dan waarvoor nu gesteld wordt dat deze ingezet gaat worden? Gaat de regering de reikwijdte van de wet inperken? Zo nee, waarom niet? Kan de regering aangeven op welke wijze zij gaat voorkomen dat steeds meer data voor steeds minder zwaarwegende belangen gedeeld gaat worden? Op welke wijze betrekt zij de Kamer bij het bewaken van die grens?

Vraag 44 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen waarom de regering een wet maakt met als doel om zekerheid te bieden aan samenwerkingsverbanden en vervolgens een wetsvoorstel opstelt waarover de Afdeling oordeelt dat «de wetgever de juridische onzekerheid over de toelaatbaarheid van gegevensuitwisseling op de voorgestelde wijze niet of onvoldoende wegneemt». Voldoet daarmee het wetsvoorstel wel aan het doel zoals gesteld door de regering zelf?

Vraag 45 (GroenLinks)

De leden van de GroenLinks-fractie onderkennen een zekere discrepantie tussen de genoemde doeleinden. Aanwijzing van een samenwerkingsverband is mogelijk, zo stelt de regering in de memorie van toelichting op pagina 6, bij a. het voorkomen en bestrijden van ernstige vormen van criminaliteit, b. het voorkomen van grootschalig of systematisch onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen of c. het voorkomen van grootschalige of systematische ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer. Even verderop omarmt de regering «een breder terrein dan fraudebestrijding» voor deze kaderwet, waarbij het dan gaat om: a. voorkoming van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen en het bevorderen dat aan wettelijke verplichtingen wordt voldaan tot betaling van belastingen, retributies en rechten bij in- en uitvoer, b. de uitoefening van toezicht op de naleving van wettelijke voorschriften, c. de handhaving van openbare orde en veiligheid en d. de voorkoming en opsporing van strafbare feiten. Het lijkt erop dat de werkingssfeer van de onderhavige wet aanzienlijk ruimer is dan de voorgespiegelde beperking tot ernstige, ondermijnende criminaliteit en grootschalig, systematisch misbruik van overheidsgeld. De genoemde voorbeelden van fraude (uitkeringsfraude, vastgoedfraude, verzekeringsfraude e.d.) en criminaliteitsvormen (hennepteelt, milieucriminaliteit, voertuigcriminaliteit) suggereren dat het ook kan gaan om delicten en misbruikvormen van minder grootschalige aard. Zonder afbreuk te doen aan de ernst van deze misstanden roept het bij de aan het woord zijnde leden toch de vraag op of, met het oog op de beginselen van proportionaliteit en subsidiariteit, de reikwijdte van deze wet wel voldoende is afgebakend. Kan de regering voorzien in een overzicht van concrete criteria, gevallen en/of situaties waarin deze wet al dan niet van toepassing is? Vindt de regering ook niet dat, zoals hier eerder door deze leden is benadrukt, de interpretatie van het zwaarwegend algemeen belang niet aan de samenwerkingsvormen zelf moet worden overgelaten, maar aan de wetgever in formele zin?

De regering is het met de leden van de GroenLinks-fractie eens dat de interpretatie van het zwaarwegend algemeen belang niet aan de samenwerkingsverbanden zelf moet worden overgelaten. Daarom berust de interpretatie van het zwaarwegend algemeen belang bij samenwerkingsverbanden die volgens het wetsvoorstel bij amvb mogen worden aangewezen, – binnen de ruimte van het voorgestelde artikel 3.1 – aan de regering en – via de voorgestelde nahangprocedure – aan het parlement.

De aangehaalde passage uit de memorie van toelichting over de doelen a tot en met d, en de aangehaalde voorbeelden hebben betrekking op de vorige versie van het wetsvoorstel, zoals voorgelegd aan de Afdeling op 21 juni 2019. Die versie ging uit van een bredere reikwijdte en sloot aan bij het rapport van de Werkgroep Verkenning kaderwet gegevensuitwisseling van 14 december 2014. De aangehaalde passage maakt onderdeel uit van de paragraaf uit de memorie van toelichting die de voorgeschiedenis weergeeft van het toepassingsbereik.

Vraag 46 (PvdD)

De leden van de Partij voor de Dieren-fractie lezen dat ten aanzien van de noodzaak voor dit wetsvoorstel regelmatig wordt verwezen naar «zwaarwegende algemene belangen». Kan de regering aangeven welke definitie van zwaarwegend algemeen belang zij hanteert? Is dat de definitie zoals die verwoord is in de Wet politiegegevens en de rol van de officier van justitie? Klopt het dat in die wet elke verwerking die enige betekenis heeft voor de samenleving als een verwerking van «algemeen belang» wordt gezien? Kopt het ook dat elke verwerking die een «meer dan gewone betekenis» heeft gezien wordt als een verwerking met een «zwaarwegend algemeen belang»? Deelt de regering de mening dat deze definitie veel te ruim is? Klopt het dat in de onderliggende stukken bij die wet voorbeelden genoemd worden zoals winkelcriminaliteit en jeugdcriminaliteit? Acht de regering het wenselijk dat het grondrecht op privacy van grote groepen burgers geschonden gaat worden ter bestrijding van deze relatief beperkte criminaliteit?

De term «zwaarwegend algemeen belang» komt inderdaad voor in de Wpg en overigens ook in de Wjsg.10 Het criterium van het zwaarwegend algemeen belang is volgens de wetsgeschiedenis bij de Wpg ontleend aan artikel 8, vierde lid, van de toenmalige privacyrichtlijn (Richtlijn nr. 95/46/EG) en komt tegenwoordig voor in artikel 9, tweede lid, onder g, van de AVG. De richtlijn gegevensbescherming opsporing en vervolging kent de term niet.

Of sprake is van een zwaarwegend algemeen belang, moet worden getoetst aan de hand van een belangenafweging tussen het belang dat gediend wordt met de gezamenlijke verwerking van persoonsgegevens en het belang van de persoonlijke levenssfeer van degenen op wie de persoonsgegevens betrekking hebben. Bij deze belangenafweging moeten ook de beginselen van proportionaliteit en subsidiariteit worden betrokken.

Overigens dienen de vier clusters van samenwerkingsverbanden die in het wetsvoorstel worden geregeld, ook doelstellingen van zwaarwegend algemeen belang. In de artikelsgewijze toelichting bij de artikelen die de doelstellingen regelen van het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen is dit onderbouwd (artikelsgewijze toelichting bij de artikelen 2.2, 2.10, 2.17, 2.25).

Vraag 47 (VVD)

In de memorie van toelichting lezen de leden van de VVD-fractie dat het wetsvoorstel zal geworden gekarakteriseerd door zowel een verstrekkingsplicht als een verstrekkingsbevoegdheid. Deze leden vragen een toelichting van de verstrekkingsplicht. In welke situaties zijn deelnemers verplicht gegevens te verstrekken en wanneer niet? Geldt dit voor alle deelnemers? Hoe en door wie wordt getoetst of aan de verstrekkingplicht is voldaan en welke consequenties zijn verbonden aan het niet nakomen hiervan?

Gekozen is voor een verstrekkingsplicht en niet voor een verstrekkingsbevoegdheid. Daarmee wil de regering benadrukken dat de samenwerking niet vrijblijvend kan zijn. De verstrekkingsplicht is niet absoluut. Integendeel, de WGS bevat verschillende elementen waaruit blijkt dat de deelnemers een zekere mate van autonomie behouden:

• • De deelnemers stellen gezamenlijk het doel van en de middelen voor de verwerking van persoonsgegevens vast en zijn uit dien hoofde gezamenlijke verwerkingsverantwoordelijken. Dit impliceert dat een deelnemer mede bepaalt voor welke concrete gegevensverwerkingen gegevens moeten worden aangeleverd en uit dien hoofde ook opdrachten kan tegenhouden.

• • Hoewel de categorieën te verstrekken gegevens in het wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de vraag of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk is voor het doel van dat samenwerkingsverband.

• • De deelnemer kan, ook al is de verstrekking van gegevens op zich noodzakelijk voor het doel van het samenwerkingsverband, besluiten om daar wegens zwaarwegende redenen van af te zien (artikel 1.5, eerste lid).

• • Op de verplichting om gegevens te verstrekken kunnen op grond van artikel 1.8, eerste lid, bij amvb voorwaarden en beperkingen worden gesteld.

Vraag 48 (VVD)

Tevens lezen de aan het woord zijnde leden dat de deelnemer van het samenwerkingsverband kan besluiten van verstrekking van gegevens af te zien wegens zwaarwegende redenen. Kan de regering toelichten hoe de procedure eruit ziet wanneer een geschil met betrekking tot het delen van bepaalde gegevens optreedt tussen twee deelnemers?

Vraag 49 (VVD)

Ook lezen de leden van de VVD-fractie in de memorie van toelichting dat het voorliggende wetsvoorstel ruimte schept de eis van doelbinding (het doel van verzamelen van de gegevens moet overeen komen met het doel van verstrekken) los te laten indien daartoe een duidelijke noodzaak bestaat. Kan de regering toelichten hoe de procedure van toetsing van een dergelijke noodzaak eruit zal zien en wie deze toetsing zal uitvoeren? Welke criteria worden hierbij gehanteerd? Wat zijn de juridische gevolgen als zou blijken dat de eis van doelbinding te snel is losgelaten?

Vraag 50 (D66)

De leden van de D66-fractie hebben over de gegevensverwerking van samenwerkingsverbanden verschillende vragen. Zij lezen dat ingevolgde artikel 1.5 van het wetsvoorstel elke deelnemer aan een samenwerkingsverband verplicht wordt tot gegevensverstrekking aan het samenwerkingsverband, voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband, tenzij naar het oordeel van de deelnemer «zwaarwegende redenen» zich daartegen verzetten. Kan de regering toelichten wat verstaan wordt onder deze «zwaarwegende redenen»?

Vraag 51 (D66)

De aan het woord zijnde leden begrijpen het doel van bestrijden van criminaliteit, maar hebben zorgen over het scheppen van deze wettelijke grondslag waarbij op grote schaal systematisch gegevens worden verwerkt die niet voor dat doel verstrekt zijn, en die kunnen resulteren in meldingen aan handhavingsorganisaties. Voornoemde leden hebben ook vragen over het grotendeels loslaten van het principe van doelbinding, waardoor het verwerken en analyseren van gegevens in een samenwerkingsverband mogelijk wordt terwijl de deelnemers die gegevens voor een ander doel verzameld hebben. Dit mag wanneer de gegevensanalyse dient ter verwezenlijking van het doel van het samenwerkingsverband. Die doelen zijn echter zeer breed gesteld in hoofdstuk 2, en hoofdstuk 3 van de wet laat de mogelijkheid open voor andere samenwerkingsverbanden met op dit moment nog onbekende doeleinden.

Vraag 52 (SP)

De leden van de SP-fractie constateren dat het delen van gegevens niet wordt bevorderd, maar verplicht volgens artikel 1.5 voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband, tenzij naar het oordeel van de deelnemer zwaarwegende redenen zich daartegen verzetten. Dat is verstrekkend. Kan in ieder geval verduidelijkt worden wat onder «zwaarwegende redenen» wordt verstaan?

Vraag 53 (SP)

Hoe zit het verder in dit verband met de professionele ruimte van werkers in de (semi)publieke sector? Hoe moet een reclasseringswerker in het ZVH nu beoordelen welke informatie over een betrokken cliënt nu wel of niet verplicht gedeeld moet worden? Is dat eigenlijk wel wenselijk? Verdwijnt hiermee niet het maatwerk? Het ZVH wijst er nadrukkelijk op dat casusbehandeling maatwerk is, en moet blijven. Graag ontvangen deze leden een uitgebreide reactie hierop.

Vraag 54 (SP)

De aan het woord zijnde leden constateren dat het principe van doelbinding wordt opgerekt, of misschien zelfs wordt losgelaten. Kan dit uitgebreid worden toegelicht, aan de hand ook van voorbeelden?

Vraag 55 (PvdD)

De leden van de Partij voor de Dieren-fractie moeten aangaande de omgang met (persoons)gegevens als gevolg van deze wet constateren dat het de regering aan respect voor het grondrecht op privacy ontbeert. De basisbeginselen op het gebied van privacy zijn óf onbekend óf bewust geschoffeerd. Beide zijn zeer ernstig. Ter illustratie zullen deze leden hier onder enkele basisbeginselen van privacy behandelen.

Eén daarvan is dat men ter bescherming van de persoonlijke levenssfeer idealiter zo min mogelijk data verzamelt. Hoe minder data een bepaalde organisatie bezit en hoe minder wijdverspreid deze data zijn hoe kleiner de kans dat er iets mee misgaat. Met deze wet, waarmee in de toekomst werkelijk elke organisatie elke dataset mag (of zelfs moet) delen, gaat de regering daar lijnrecht tegenin. In voorliggend wetsvoorstel wordt juist gestreefd naar het zo veel mogelijk delen van data.

Een tweede basisbeginsel is dat men moet laten weten wat er met de data gebeurt. Bekend moet zijn dat een organisatie data verzamelt, welke data dat is en met wie men dat deelt. Zodra gegevens verzameld zijn kunnen organisaties met het voorliggende wetsvoorstel echter, zonder medeweten van de burgers, overgaan tot het delen van informatie met onbekende derden. Een enorme schending.

Een derde beginsel is dat voor het gebruik van gegevens toestemming gegeven moet worden. Dit betekent niet dat mensen slechts gevraagd moet worden of ze een nieuwsbrief wel of niet willen ontvangen. Dit betekent ook dat men de keuze voorgelegd zou moeten krijgen of de data gedeeld mogen worden ten behoeve van het doel van het samenwerkingsverband. Ook dit gebeurt niet.

Een vierde beginsel is dat het doel waartoe data verzameld wordt duidelijk en begrensd moet zijn. Het simpelweg verzamelen van data om daar later een doel voor te verzinnen, of zelfs het bewust verzamelen van data onder de noemer van het ene doel om het later voor een andere doel te gebruiken is geen beleid dat de privacy beschermt en respecteert. Het is echter wel een gang van zaken die door het wetsvoorstel gefaciliteerd wordt.

Vraag 56 (PvdD)

Voornoemde leden vragen op welke wijze het wetsvoorstel rekening houdt met de motie-Elissen (Kamerstuk 32 761, nr. 38) die de regering verzocht verwerking van persoonsgegevens voor andere doelen dan het doel waarvoor de gegevens oorspronkelijk zijn verzameld uitsluitend mogelijk te maken in geval van verenigbaarheid én op basis van een wettelijke grondslag. Hoe is dat te rijmen met de huidige inzet van de regering waarmee die verenigbaarheidseis wordt losgelaten?

Vraag 57 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen de regering of zij niet een belangrijk onderdeel van de tekst van het AVG artikel 6 negeert? In het artikel staat namelijk beschreven wanneer een verwerking rechtmatig is. Dat is het geval wanneer toestemming voor de verwerking gegeven wordt óf wanneer de verwerking noodzakelijk is voor een aantal in het artikel genoemde doelen. Deelt de regering de mening dat het woord «noodzakelijk» betekent dat de verwerking onmisbaar zou moeten zijn voor het bereiken van het doel en anders onrechtmatig is? Dus wanneer een doel ook bereikt zou kunnen worden zonder de gegevensverwerking is de verwerking (indien zonder toestemming uitgevoerd) niet noodzakelijk en daarmee niet rechtmatig. Op welke wijze heeft de regering gewaarborgd dat onderzocht wordt of doelen ook bereikt kunnen worden zonder gegevensverwerking?

Vraag 58 (PvdD)

Voornoemde leden vragen of de regering kan aangeven waarom ervoor gekozen wordt in het voorliggende wetsvoorstel een verstrekkingsplicht op te nemen in plaats van een verstrekkingsbevoegdheid. Waarom kiest de regering ervoor het delen van informatie te laten gebeuren op basis van een «ja-tenzij» principe? In hoeverre past dat bij de privacy principes die eerder genoemd zijn? Deze leden lezen dat wanneer organisaties zoals de politie en de Koninklijke Marechaussee deelnemen aan een samenwerkingsverband zij gegevens moeten verstrekken en daar alleen onderuit kunnen als zij zwaarwegende redenen zien zich daartegen te verzetten. Deelt de regering de conclusie dat het onwenselijk is dat gegevens vanzelfsprekend gedeeld gaan worden en alleen met zwaarwegende redenen tegen gehouden kan worden? Wat verstaat de regering onder zwaarwegende redenen? Wie beoordeelt dat?

De regering deelt de conclusie dat het onwenselijk is indien gegevensverstrekking – bijvoorbeeld door de politie en Koninklijke Marechaussee – alleen met zwaarwegende redenen tegengehouden zou kunnen worden. Zo is het wetsvoorstel daarom niet vormgegeven: de verstrekkingsplicht is geclausuleerd. In de eerste plaats geldt de verstrekkingsplicht slechts voor zover de verstrekking noodzakelijk is voor het doel van het samenwerkingsverband. In de tweede plaats voorziet het wetsvoorstel in aanvullende voorwaarden aan en uitzonderingen op de gegevensverstrekking. Op de verplichting om gegevens te verstrekken kunnen op grond van artikel 1.8, eerste lid, bij amvb voorwaarden en beperkingen worden gesteld (zie hierover het antwoord op vraag 29).

Als voldaan is aan de voorwaarden voor de verstrekkingsplicht, dan geldt een uitzondering op de verstrekkingsplicht indien zwaarwegende redenen zich tegen de gegevensverstrekking verzetten. Bovendien geldt een uitzondering indien een specifieke geheimhoudingsbepaling van toepassing is die het niet toelaat dat de WGS daarop een uitzondering maakt.

Geconcludeerd kan dus worden dat gegevensverstrekking in het wetsvoorstel niet alleen met een beroep op zwaarwegende redenen kan worden tegengehouden.

Voor het antwoord op de vragen over zwaarwegende redenen wordt verwezen naar het antwoord op vraag 50.

Vraag 59 (PvdD)

Wat gebeurt er volgens de regering als een organisatie die niet langer deel wenst te nemen aan een bepaald samenwerkingsverband daartoe toch verplicht blijft? Acht de regering zo’n situatie denkbaar? Acht zij die wenselijk? Zo nee, op welke wijze wordt dit voorkomen?

Vraag 60 (PvdD)

De leden van de fractie van de Partij voor de Dieren vragen de regering verder op welke wijze rekening is gehouden met het onomkeerbare karakter van informatie delen. Zodra gegevens eenmaal gedeeld zijn kunnen deze niet meer «teruggehaald» worden. Op welke manier zorgt de regering ervoor dat wanneer een samenwerking of een samenwerkingsverband niet langer wenselijk is of zelfs als gevaarlijk gezien wordt de data teruggehaald kunnen worden? Deelt de regering de zorgen dat wanneer gegevens eenmaal gedeeld zijn dit onomkeerbaar is en dat feit grote risico’s met zich meebrengt? Deelt de regering verder de mening dat er voor elke partij verschillende belangen bij gegevensuitwisseling zijn? Ter illustratie: bij het delen van informatie over de mobiliteit van alle Nederlandse burgers kan wellicht gesteld worden dat de politie en de bank elkaar kunnen helpen om te bepalen wat voor routes criminelen vaak gebruiken. Het kan de bank echter ook informatie opleveren over waar hun billboards meer bereik hebben, waar ze hun filialen beter zouden kunnen neerzetten, etc. Deelt de regering de mening dat de denkbare toepassingen haast oneindig zijn en ook over de tijd nog kunnen veranderen? Zo ja, welke conclusies verbindt de regering daaraan? De aan het woord zijnde leden maken zich grote zorgen over het feit dat op dit moment niet te bezien valt welke toepassingen er in de toekomst mogelijk zijn. Deelt de regering ook de mening dat ook wanneer organisaties informatie slechts kortstondig bezitten ze de nuttige informatie daar snel uit gedestilleerd kunnen hebben? Op welke manier houdt het wetsvoorstel hier rekening mee?

Vraag 61 (SP)

De leden van de SP-fractie constateren dat openbare gegevens (social media) een bron vormen die veel informatie en aanwijzingen oplevert. Mag deze informatie gedeeld en verwerkt worden? Of moeten deze ook in de lijst van de te verwerken gegevens opgenomen worden?

Het wetsvoorstel voorziet hier niet in, omdat op dit punt geen knelpunten zijn gerezen ten aanzien van samenwerkingsverbanden. De Awb, noch bijzondere bestuursrechtelijke wetten, bevatten een expliciete grondslag voor het doen van openbronnenonderzoek.

Gegevens die op internet voor een ieder toegankelijk zijn, mogen in beginsel door bestuursorganen worden verzameld, als onderdeel van hun onderzoeksplicht bij de voorbereiding van besluiten (artikel 3:2 Awb), als onderdeel van de toezichtsbevoegdheden van artikel 5:16 en 5:17 Awb, of een algemene grondslag in wetgeving, waarin staat dat voor de taakuitoefening informatie mag worden verzameld en verwerkt. Openbronnenonderzoek is echter niet vrij en onbeperkt. De aard en intensiteit van het openbronnenonderzoek bepalen de eisen die worden gesteld aan de wettelijke grondslag van deze onderzoeksbevoegdheid. Hoe groter de privacy-inmenging die plaatsvindt, hoe meer waarborgen nodig zijn. Deze factoren betreffen 1. de omvang en het type van de (over te nemen) gegevens, 2. de aard van de bron, 3. de wijze van zoeken en 4. het gebruik van de gegevens en de mogelijke impact op de persoon.13 Zodra het bewaren van de gegevens wordt aangemerkt als een privacy-inmenging, zijn alle vervolghandelingen, zoals het combineren met andere gegevens, dat automatisch ook.

Wanneer deelnemers op rechtmatige wijze beschikken over gegevens uit openbronnenonderzoek, dan zijn zij in beginsel verplicht deze gegevens te verstrekken aan het samenwerkingsverband als dat nodig is voor het doel van het samenwerkingsverband, mits de gegevens zijn terug te voeren tot bij of krachtens dit wetsvoorstel aangewezen categorieën van gegevens. Het wetsvoorstel regelt geen bevoegdheid voor samenwerkingsverbanden om zelf (al dan niet openbare) gegevens te vergaren. Het onderhavige wetsvoorstel gaat uitsluitend over het gezamenlijk verwerken van gegevens waarover deelnemers van een samenwerkingsverband reeds beschikken. Het wetsvoorstel gaat dus wel over verdere verwerking van gegevens, maar niet over initiële gegevensverzameling. De initiële gegevensverzameling door een deelnemer wordt beheerst door de specifieke sectorwet die op die deelnemer van toepassing is.

Vraag 62 (SP)

In de regio Brabant-Zeeland wordt gewerkt met een zogenaamd Joint Datalab ondermijning. In dit datalab kunnen de netwerkpartners beveiligd informatie delen en inzien. Kan voor de aan het woord zijnde leden worden verduidelijkt waarom dit nu op dit moment al kan, en waarom het wetsvoorstel op dit vlak dan nog een meerwaarde zou hebben?

Vraag 63 (ChristenUnie)

De leden van de ChristenUnie-fractie constateren dat bij de VNG onduidelijkheid bestaat over de verwerking van openbare gegevens, bijvoorbeeld van openbare profielen op sociale media. Kan worden toegelicht of verwerking van deze gegevens ook onder de reikwijdte van het voorstel valt? Wat betekent dit voor samenwerkingsverbanden die niet nu bij naam zijn genoemd?

Vraag 64 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering ook rekening heeft gehouden met het risico dat organisaties in samenwerkingsverbanden straks een stimulans hebben om ten behoeve van andere organisaties waarmee zij samenwerken informatie te gaan verzamelen. Zo ja, hoe heeft zij dit risico ondervangen? Zo nee, waarom niet? Kan de regering zich voorstellen dat wanneer organisaties intensief samenwerken dit kan leiden tot een zeker mate van amicaliteit en wederzijdse welwillendheid tot het uitwisselen van gegevens die, gegeven de wettelijke rollen van de organisaties, niet gerechtvaardigd zou zijn? Kan de regering zich voorstellen dat organisaties elkaar met het voorliggende wetsvoorstel gegevens gaan toespelen die voor hen beide profijtelijk zijn maar geen zwaarwegend algemeen belang dienen? Op welke manier wordt dit voorkomen?

Vraag 65 (VVD)

De leden van de VVD-fractie hebben vernomen dat het wetsvoorstel ruimte biedt voor het delen van informatie binnen publiek-private samenwerkingsverbanden. Zij vragen in hoeverre het wetsvoorstel ruimte biedt voor het delen van informatie tussen private partijen? Ook vragen deze leden in hoeverre het wetsvoorstel voorziet in cross-sectorale informatiedeling, waar ook grote behoefte aan is in het kader van criminaliteitsbestrijding?

Vanwege de publieke belangen die worden nagestreefd met de samenwerkingsverbanden in de zin van dit wetsvoorstel, volgt uit artikel 1.3, derde lid, dat het samenwerkingsverband niet zal kunnen bestaan uit uitsluitend private partijen, maar er altijd tevens publieke partijen deel van uitmaken. Wat zodoende onder de voorgestelde wet zou kunnen, is publiek-private samenwerking binnen het FEC of binnen de Zorg- en Veiligheidshuizen, of – via een toekomstige amvb – een samenwerkingsverband tussen politie, OM en bedrijven ter bestrijding van ernstige vormen van criminaliteit. Dit zijn vormen van cross-sectorale informatiedeling tussen publieke en private partijen.

Voor wat betreft cross-sectorale informatiedeling tussen uitsluitend private partijen verwijs ik naar de brief aan uw Kamer met de beleidsreactie onderzoek «Cross-sectorale gegevensdeling tussen private partijen voor fraudebestrijding» en het gelijknamige rapport.14 Zoals in die beleidsreactie is toegelicht, is cross-sectorale gegevensdeling tussen private partijen reeds mogelijk, namelijk met een vergunning van de Autoriteit persoonsgegevens. De Autoriteit persoonsgegevens kan een dergelijke vergunning verlenen, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van betrokkenen niet onevenredig wordt geschaad (artikel 33, vijfde lid, Uitvoeringswet AVG).

Vraag 66 (VVD)

Banken kennen interne zwarte lijsten. In het kader van een betere en efficiëntere aanpak om criminelen bij banken te kunnen weren en witwassen beter aan te pakken, vragen voornoemde leden in hoeverre dit wetsvoorstel de wettelijke grondslag schept voor het onderling uitwisselen van deze lijsten? Op welke schaal wisselen banken op dit moment gegevens uit via externe zwarte lijsten van financiële instellingen? Hoe beoogt dit wetsvoorstel te borgen dat financiële instellingen zorgvuldig met gegevens van mensen omgaan?

Het onderhavige wetsvoorstel ziet uitsluitend op gegevensuitwisseling binnen samenwerkingsverbanden waaraan ook overheidsinstanties deelnemen. Binnen het FEC is ook deelname van banken aan sommige verwerkingen binnen het FEC mogelijk, indien zij als deelnemer worden aangewezen bij amvb. Dat kan alleen gebeuren voor zover dit noodzakelijk is voor het doel van het samenwerkingsverband en indien tevens overheidsinstanties of overheidsorganen deelnemen. Dit wetsvoorstel biedt derhalve geen wettelijke grondslag voor het delen van informatie louter tussen banken.

Uitwisseling van strafrechtelijke gegevens tussen banken is nu al op basis van een door de Autoriteit persoonsgegevens te verlenen vergunning mogelijk.15 Daarbij geldt wel dat deze uitwisseling noodzakelijk moet zijn met het oog op een zwaarwegend belang van bepaalde private partijen en dat moet zijn voorzien in voldoende waarborgen zodat personen niet ten onrechte op bijvoorbeeld een zwarte lijst komen te staan. In het licht van de eisen van noodzakelijkheid, subsidiariteit en proportionaliteit moet de vergunningaanvraag goed zijn onderbouwd en dienen de waarborgen steviger te zijn naarmate de reikwijdte van de lijst en de impact van plaatsing daarop groter zijn. In het kader van fraude hebben de banken samen met andere instellingen reeds een dergelijke lijst (Incidentenwaarschuwingssysteem Financiële Instellingen (IFI)). De regels hierover staan in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. De Autoriteit persoonsgegevens heeft hiervoor al een verklaring van rechtmatigheid afgeven. Op dit moment loopt een vergunningaanvraag bij het Autoriteit persoonsgegevens ten aanzien van een herzien Protocol.

Daarnaast is in het plan van aanpak witwassen aangekondigd dat de informatie-uitwisseling tussen instellingen vergemakkelijkt zal worden, onder meer door wettelijke belemmeringen weg te nemen voor het gezamenlijk monitoren van transacties. Het wetsvoorstel plan van aanpak witwassen, dat dit regelt, ligt bij de Afdeling advisering van de Raad van State voor ter advisering.

Vraag 67 (CDA)

De leden van de CDA-fractie lezen dat de Belastingdienst geen gegevens mag verstrekken aan deelnemers voor zover dit private partijen zijn. Deze leden vragen de regering hoe dit zich verhoudt tot het FEC waarbinnen intensieve samenwerking mogelijk moet zijn tussen Belastingdienst en bijvoorbeeld banken. Kan worden toegelicht waarom er niet voor gekozen is dat door middel van onderhavig wetsvoorstel het delen van deze gegevens of een deel daarvan wel mogelijk kan zijn.

Vraag 68 (CDA)

Ook vragen de aan het woord zijnde leden de regering of in de antwoorden op deze vragen ook de samenwerking met havens en vakantieparken kan worden meegenomen, sectoren die ook gebaat zijn bij adequate gegevensdeling.

Vraag 69 (D66)

De leden van de D66-fractie lezen dat private partijen deel kunnen uitmaken van een samenwerkingsverband en zo in bezit komen van zeer privacygevoelige gegevens zoals stafrechtelijke gegevens, die voor een ander doel verzameld zijn. De Afdeling was hier kritisch over: wat betreft deelname van private partijen wordt gesuggereerd deze mogelijkheid uit te sluiten. Ook als private partijen geen officiële deelnemer zijn in de door het wetsvoorstel voorgestelde zin, is het wel mogelijk om samen te werken, te overleggen en gegevens uit te wisselen. Voornoemde leden lezen dat de regering heeft overwogen of deelname van private partijen noodzakelijk is voor het doel van het samenwerkingsverband bij de vier voorgestelde samenwerkingsverbanden. Daarom is dit niet bij elk samenwerkingsverband op dezelfde wijze mogelijk. Zal dit op eenzelfde wijze gebeuren bij samenwerkingsverbanden die middels AMvB worden «opgehangen» aan de kapstok van deze wet? Waarom is deelname van private partijen niet in de wet verder begrensd en aan voorwaarden verbonden, bijvoorbeeld door de samenwerking te beperken tot wat noodzakelijk is? De Afdeling suggereert verder om bijvoorbeeld beperkingen voor te stellen aan de mate waarin private partijen inzage krijgen in gegevens en kunnen meebeslissen over het verstrekken van gegevens aan de deelnemers en aan derden. Ook zouden beperkingen kunnen worden gesteld aan het soort gegevens die private partijen kunnen ontvangen van het samenwerkingsverband. Graag ontvangen de aan het woord zijnde leden een reactie.

Gegevensverwerking binnen het kader van een samenwerkingsverband moet inderdaad worden beperkt tot wat noodzakelijk is. Terwijl het wetsvoorstel bij een overheidsinstantie of overheidsorgaan voor deelname vereist dat dit noodzakelijk is voor het doel van het samenwerkingsverband (artikel 1.3, tweede lid), is bij private partijen de drempel hoger: een private partij kan slechts deelnemen indien het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partij (artikel 1.3, derde lid). Een tweede vereiste voor aanwijzing van een private partij als deelnemer is bovendien dat er tevens overheidsinstanties of overheidsorganen deelnemen.

Het wetsvoorstel bevat daarnaast diverse andere beperkingen en begrenzingen ten aanzien van private partijen:

• – Bij iCOV zijn er geen private partijen als deelnemer aangewezen omdat dit niet noodzakelijk is (voorgestelde artikel 2.11). Bovendien is het niet mogelijk om private partijen bij of krachtens amvb als deelnemer aan te wijzen (artikel 2.11, onder j).

• – Bij de RIEC’s zijn er evenmin private partijen als deelnemer aangewezen, maar is het wel mogelijk om deze aan te wijzen bij of krachtens amvb (artikel 2.19, derde lid), onder de condities van artikel 1.3, derde lid. Deze mogelijkheid is opgenomen op voorstel van de RIEC’s met het oog op het potentiële belang van publiek-private samenwerking (PPS) in het kader van de aanpak van ondermijning.

• – Bij het FEC nemen aan bepaalde activiteiten ook private partijen deel. Het gaat dan om activiteiten waarbij het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partijen. De private deelnemers aan het FEC zullen op grond van het wetsvoorstel uitsluitend verantwoordelijk zijn voor zover het gaat om bij amvb beschreven specifieke verwerkingen of onderdelen daarvan. Concreet gaat het dan om twee Taskforces die onder de vlag van het FEC functioneren: de Taskforce Terrorismefinanciering en de Taskforce Serious Crime. Hierin werken deelnemers van het FEC samen met private partijen, te weten: de Nederlandse Vereniging van Banken, ING Bank, ABN Amro Bank, Rabobank, Volksbank en Aegon, in het belang van het gezamenlijk voorkomen en bestrijden van het gebruik van het financiële stelsel voor financieel-economische criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende criminaliteit alsmede terrorismefinanciering.

• – Voor het doel van de Zorg- en Veiligheidshuizen is deelname van private partijen noodzakelijk, omdat zorgverlening, hulp en begeleiding in de praktijk vaak geschieden door partijen uit de private sector. Zoals nader toegelicht in paragraaf 3 van het nader rapport en in de artikelsgewijze toelichting bij artikel 2.27, wordt de gezamenlijke verwerkingsverantwoordelijkheid voor de gezamenlijke verwerking van gegevens bij de Zorg- en Veiligheidshuizen exclusief toegekend aan de publiekrechtelijke deelnemers. Hiermee berust de verantwoordelijkheid voor de persoonsgegevensverwerking in het kader van het samenwerkingsverband bij de publiekrechtelijke deelnemers en niet bij de private deelnemers.

Vraag 70 (GroenLinks)

De leden van de GroenLinks-fractie menen dat niet uit het oog mag worden verloren dat gegevensverwerking en -deling de autonomie en de menselijke waardigheid van burgers raakt en dat het vaak om informatie over onverdachte burgers gaat. Dat vraagt om duidelijke grenzen aan wettelijke bevoegdheden (bijvoorbeeld ten aanzien van het specifieke doel waarvoor informatie is verzameld en wie deze informatie mag gebruiken). Die noties moeten volgens deze leden onverkort worden gerespecteerd. Dat is eens te meer van belang nu dit wetsvoorstel het delen met private partijen beoogt. Op private partijen is het toezicht op het gebruik van informatie nog minder inzichtelijk voor de betrokken burger dan bij overheidsorganen. Dit is volgens voornoemde leden extra problematisch nu het er ook op lijkt dat bijzondere categorieën persoonsgegevens en van persoonsgegevens van strafrechtelijke aard met private partijen kunnen worden gedeeld (zie artikel 1.7, derde lid). Daarvoor moet naast een formele rechtsgrond vooral een duidelijk, onomstotelijk overtuigend doel bestaan en moeten maximale waarborgen rond het delen en gebruik gegeven worden. De aan het woord zijnde leden vragen de regering hierop te reflecteren.

Vraag 71 (SP)

De leden van de SP-fractie vragen of verduidelijkt kan worden wanneer sprake is van «gezamenlijke verantwoordelijkheid» in de zin van de AVG ten aanzien van de deelnemers aan een publiek-privaat samenwerkingsverband. Klopt het dat in het wetsvoorstel met «gezamenlijke verantwoordelijkheid» wordt afgeweken van de gangbare verantwoordelijkheidsvorm in huidige samenwerkingsverbanden, namelijk «zelfstandige verantwoordelijkheid» bij het verwerken van gegevens? Zo ja, waarom denkt de regering hier goed aan te doen?

Vraag 72 (ChristenUnie)

De leden van de ChristenUnie-fractie zien de zorg vanuit bijvoorbeeld de Nederlandse Vereniging voor Banken dat niet wordt overgegaan tot regeling van publiek-private samenwerking per AMvB vanwege het tijdspad dat hieraan verbonden is. Daarmee zou voor private partijen dezelfde beperkingen en onzekerheid bestaan die er nu ook is. Is de regering van deze zorg op de hoogte? Hoe kan deze zorg worden ondervangen? Tevens vragen de voorgenoemde leden of kan worden gespecificeerd wat de grondslag is voor private partijen voor verstrekken van gegevens aan een samenwerkingsverband?

Zoals toegelicht in het antwoord op vraag 69, maakt het wetsvoorstel wel publiek-private samenwerking mogelijk bij drie van de vier samenwerkingsverbanden die het wetsvoorstel regelt, namelijk bij FEC, de RIEC’s en de Zorg- en Veiligheidshuizen. De grondslag voor de gegevensverstrekking door een private deelnemer aan het samenwerkingsverband is artikel 1.5.

Voor samenwerkingsverbanden die bij amvb worden aangewezen is eveneens publiek-private samenwerking mogelijk. Bij deze categorie samenwerkingsverbanden maakt het voorgestelde artikel 3.2, aanhef en onder b, het namelijk mogelijk om private partijen als deelnemer aan te wijzen indien het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partijen en indien tevens overheidsinstanties of overheidsorganen deelnemen. De grondslag voor de gegevensverstrekking door een private deelnemer aan het samenwerkingsverband is in dit geval eveneens artikel 1.5.

Vraag 73 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen de regering waarom zij überhaupt een wetsvoorstel opstelt waarmee publiek verzamelde gegevens op grote schaal gedeeld gaan worden met private instellingen. Deze leden achten dit zeer onwenselijk. Acht de regering het wenselijk dat gegevens die verzameld en beheerd worden voor publieke belangen gebruikt worden voor private doeleinden? Zo ja, waarom? Zo nee, hoe voorkomt zij dit dan? Kan de regering ook aangeven waarom zij het wenselijk acht dat databases die met publiek geld beheerd worden gedeeld met organisaties met een winstoogmerk?

Vraag 74 (CDA)

De leden van de CDA-fractie delen in lijn met de opmerkingen van de WeCo van de Nederlandse Vereniging voor Rechtspraak (NVvR) dat de uitkomst van een data-analyse op zichzelf geen redelijk vermoeden zal opleveren dat een strafbaar feit is gepleegd of wordt voorbereid of beraamd. Deze leden vragen daarom aan de regering hoe het proces verloopt van geautomatiseerde data-analyse en het komen tot een individuele verdenking of het aanmerken tot verdachte, uiteengezet in de verschillende stappen die moeten worden doorlopen en de rollen van de betrokken partijen binnen een samenwerkingsverband zoals het FEC, de iCOV of een RIEC. Welke partij of partijen hebben hierin een uiteindelijk beslissende rol als het gaat om het aanmerken van individuele personen als verdachte? Ook vragen zij aan de regering of daarbij kan worden aangegeven welke waarborgen een rol spelen.

Vraag 75 (VVD)

De leden van de VVD-fractie vragen de regering naar de exacte rol, taken en bevoegdheden van de in te stellen rechtmatigheidsadviescommissie. Moet de rechtmatigheidsadviescommissie vooraf bij elke wijziging van gegevensverwerking worden geraadpleegd? Hoe ziet de regering de rol van deze commissie in de context van de fluïde en organische criminele netwerken, wanneer snel handelen bij nieuwe gegevensverwerking noodzakelijk is voor het aanpakken, ontmantelen en voorkomen van de georganiseerde criminaliteit?

De in te stellen rechtmatigheidsadviescommissie zal ingevolge artikel 1.8, zesde lid, van het wetsvoorstel tot taak krijgen de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen. Zoals in de toelichting op artikel 1.8 is vermeld kan een rechtmatigheidsadviescommissie meer specifiek bijvoorbeeld de volgende taken hebben, die kunnen worden vastgelegd in een amvb als bedoeld in artikel 1.8, zesde lid, tweede volzin:

• • Het voeren van structureel overleg over privacy met alle deelnemers;

• • Het toetsen van gegevensbeschermingseffectbeoordelingen (PIA’s), het – voor zover noodzakelijk – begeleiden bij de uitvoering daarvan en het uitbrengen van advies daarover aan de functionarissen voor gegevensbescherming en de gezamenlijke verwerkingsverantwoordelijken;

• • Het in beeld brengen van de privacyissues die er zijn en het doen van voorstellen voor mitigerende maatregelen aan de deelnemers;

• • Het door middel van interne controlemechanismen, zoals de beoordeling van gegevensuitwisselingen door de rechtmatigheidsadviescommissie, contractuele afspraken alsook door het stimuleren van bewustzijn onder medewerkers en technische beheersmaatregelen, waarborgen dat de verzamelde gegevens enkel voor de vooraf vastgestelde doeleinden worden verwerkt;

• • Bij concrete verwerkingen vooraf een rechtmatigheidsbeoordeling verrichten, opdat bij de verstrekking van het resultaat een aanduiding van de toepasselijke rechtmatigheidsbeoordeling kan worden gegeven.17

Bij de uitvoering van taken als deze gaat het om een adviserende rol aan de bestuurders van de deelnemers die gezamenlijke verwerkingsverantwoordelijkheid dragen binnen het samenwerkingsverband. Dat impliceert dat de commissie niet zelf kan beslissen om bijvoorbeeld een bepaalde verwerking niet te starten. Die beslissing is aan de gezamenlijke verwerkingsverantwoordelijken, die deze beslissing zullen moeten nemen binnen de kaders die daarvoor worden gesteld in de AVG, de UAVG, de WGS en eventueel andere relevante regelgeving, zoals de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens.

De rechtmatigheidsadviescommissie hoeft niet bij elke wijziging van gegevensverwerking per se vooraf te worden geraadpleegd. Zeker als de wijziging van ondergeschikte aard is, lijkt dat niet nodig en zou dat om die reden ook niet te rechtvaardigen uitvoeringslasten geven. De in de WGS omschreven taak brengt mee dat de commissie te allen tijde wel naderhand alsnog advies kan uitbrengen.

Vraag 76 (CDA)

De leden van de CDA-fractie vragen, in het licht van geconstateerde uitgebleven beveiligingsmaatregelen van digitale systemen, bijvoorbeeld zoals laatst aan het licht is gekomen bij de grensbewakingssystemen op Schiphol en de informatiebeveiliging van het Ministerie van Buitenlandse Zaken, hoe erop wordt toegezien dat de waarborgen die per AMvB worden gesteld, zoals bepaald in artikel 1.8 en 1.9 van het wetsvoorstel, worden nageleefd en dat daadwerkelijk een systeem van autorisaties komt dat voldoende geaccrediteerd is. Ook vragen de aan het woord zijnde leden hoe wordt omgegaan met het uitvoeren van beveiligingsupdates en het laten uitvoeren van reguliere audits teneinde te controleren dat de systematiek van autorisaties actueel en veilig blijft. Kan daarbij ook worden aangegeven hoe de regering wil borgen dat bijvoorbeeld personen die toegang hadden tot de systemen, geen toegang meer zullen hebben nadat zij niet meer geautoriseerd zijn.

De controle op de naleving van de waarborgen, zoals vast te stellen bij amvb op basis van de artikelen 1.8 en 1.9, zal, voor zover het om informatiebeveiliging en – als onderdeel daarvan – het invoeren van een geaccrediteerd systeem van autorisaties gaat, moeten worden ingericht volgens de daarop betrekking hebbende richtlijnen van de Minister van BZK. Het gaat daarbij om de Baseline Informatiebeveiliging Overheid (BIO), die de ministerraad op 14 december 2018 heeft vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. Dit impliceert voor het toezicht onder meer dat er regelmatig audits dienen plaats te vinden, waarbij extra aandacht dient te worden besteed aan onderdelen waar substantiële risico’s worden gelopen op inbreuken op de privacy. Voor zover het bij de hier bedoelde waarborgen om de bescherming van persoonsgegevens gaat, zal daarnaast ook de Autoriteit persoonsgegevens op grond van haar in artikel 57 AVG vastgelegde taken op de naleving van deze waarborgen toezien.

De BIO bevat ook richtlijnen voor het uitvoeren van beveiligingsupdates en het laten uitvoeren van reguliere audits teneinde te controleren dat de systematiek van autorisaties actueel en veilig blijft. Deze borgen ook dat bijvoorbeeld personen die toegang hadden tot de systemen, geen toegang meer zullen hebben nadat zij niet meer geautoriseerd zijn.

Vraag 77 (CDA)

Voornoemde leden delen het uitgangspunt van een rechtmatige en behoorlijke verwerking van persoonsgegevens, zoals dat ook in onderhavig wetsvoorstel wordt weergegeven. Deze leden wijzen erop dat bij gebruik van data en daarbij vaak ook geautomatiseerde systemen die deze data analyseren, al gauw het gevaar van onwenselijke vormen van profiling op de loer ligt. In dit verband verwijzen de leden van de CDA-fractie ook naar de problematiek bij de Belastingdienst, waar mogelijk een tweede nationaliteit werd bijgehouden en dit mogelijk werd gebruikt bij de beoordeling van aanvragen. De aan het woord zijnde leden vragen de regering welke waarborgen in het leven worden geroepen om ervoor te zorgen dat personen op basis van hun gegevens niet in bepaalde profielen worden geplaatst met alle gevolgen van dien.

Voor profilering geldt in algemene zin dat zij kan bijdragen aan de effectiviteit en efficiency van de taakuitvoering door overheidsorganisaties. Zo kan profilering helpen bij het inschatten van bepaalde risico’s en daarmee aan het zo adequaat mogelijk inzetten van mensen en middelen om deze risico’s te beperken. In zoverre kan profilering ook samenwerkingsverbanden helpen hun doelstellingen te bereiken. Ook de Afdeling advisering van de Raad van State onderkent dat er situaties kunnen zijn waarin profilering een duidelijke meerwaarde heeft.18 Maar profilering brengt, zoals de Afdeling eveneens aangeeft, ook risico’s mee. Deze risico’s kunnen gelegen zijn in de analysemethoden, als daaraan bepaalde vooroordelen ten grondslag liggen, of in de gebrekkige kwaliteit van de data die in de analyse worden betrokken. Een en ander kan tot gevolg hebben dat iemand in een bepaald profiel wordt geplaatst waarin hij op de keper beschouwd niet thuishoort. Daarom bevat het wetsvoorstel in artikel 1.9 een aantal waarborgen in geval van een gezamenlijke geautomatiseerde gegevensanalyse die dergelijke risico’s beperken. Deze waarborgen zijn ook van belang als een dergelijke analyse het karakter van profilering heeft. Voor profilering veronderstelt artikel 4, onderdeel 4, AVG immers dat er een geautomatiseerde verwerking van persoonsgegevens met een analytisch of voorspellend karakter plaatsvindt.

De waarborgen betreffen, voor zover in dit verband relevant:19

• – de verplichting zorg te dragen voor adequate en uniforme technische en organisatorische maatregelen in verband met de bevordering van de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse alsmede ter bevordering van de juistheid en de volledigheid van de gegevens die daarbij worden verwerkt;

• – de plicht tot menselijke tussenkomst bij de verstrekking van een resultaat van geautomatiseerde gegevensanalyse, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen;

• – de verplichting om op een voor het publiek toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica, voor zover volgens een deelnemer zwaarwegende redenen zich daartegen niet verzetten, zoals de bescherming van de opsporingsstrategie en het opsporingsbelang;

• – de verplichting tot terugmelding van onjuistheden in bronbestanden.

Overigens wijst de regering er in dit verband nog op dat zij bezig is richtlijnen te ontwikkelen voor het uitvoeren van data-analyses met behulp van algoritmes door overheden, die eveneens waarborgen tegen risico’s daarvan bevatten.20 Deze richtlijnen, die begin 2021 gereed zijn, zullen ook relevant zijn voor het uitvoeren van geautomatiseerde gegevensanalyses door samenwerkingsverbanden.

Vraag 78 (D66)

De leden van de D66-fractie lezen in het wetsvoorstel dat een aantal waarborgen zijn ingebouwd met het oog op rechtmatige en behoorlijke verwerking van persoonsgegevens. Zij zijn daarmee ingenomen, maar hebben nog wel een aantal vragen over deze waarborgen. Deze leden begrijpen dat het voor de samenwerkingsverbanden eenvoudiger wordt om informatie te delen. Zij zijn daarbij benieuwd naar de interne waarborgen om bijvoorbeeld te voorkomen dat medewerkers om de verkeerde redenen informatie opvragen. Welke waarborgen zijn hiervoor? Komen er interne autorisaties, of is er bijvoorbeeld toezicht vanuit het openbaar ministerie (OM) op verzoeken vanuit de politie? Op welk niveau worden deze waarborgen geregeld? Komen zij in de AMvB? Voornoemde leden vragen de regering ook nader in te gaan op het verstrekken van informatieproducten aan het OM en opsporingsdiensten uit een samenwerkingsverband. Welke waarborgen gelden bij deze verstrekking? Hoe kan worden voorkomen dat al te lichtvaardig opsporingsonderzoeken worden opgestart?

De redenen op grond waarvan de deelnemers aan een samenwerkingsverband gezamenlijk gegevens verwerken, moeten passen binnen de doelstelling van het samenwerkingsverband. De deelnemers aan het samenwerkingsverband zijn op grond van artikel 1.3 als gezamenlijke verwerkingsverantwoordelijken ervoor verantwoordelijk dat het verzoek om informatie aan dat vereiste voldoet en de informatie dus niet om verkeerde redenen wordt opgevraagd. Zij zullen zich op dat punt moeten laten adviseren door de rechtmatigheidsadviescommissie als bedoeld in artikel 1.8, zesde lid. De samenwerkingsverbanden zullen op grond van artikel 1.8, tweede lid, inderdaad uitsluitend geautoriseerde personen toegang mogen geven tot de systemen waarin de deelnemers gezamenlijk persoonsgegevens verwerken. Op grond van de tweede volzin, onderdeel a, van dat artikellid geldt dat de autorisaties slechts betrekking mogen hebben op de uitvoering van de gegevensverwerking voor de doelen van het samenwerkingsverband. Ingevolge het vierde lid van artikel 1.8 zullen bepaalde verwerkingen moeten worden gelogd, zodat aan de hand daarvan kan worden gecontroleerd of verwerkingen binnen de doelstellingen van het verband passen. Verder schrijft artikel 1.8, vijfde lid, voor dat de deelnemers passende organisatorische maatregelen treffen om te waarborgen dat per geval de gegevens enkel voor het vooraf vastgestelde doel worden verwerkt. Daarbij valt denken aan het oormerken van de gegevens die voor een bepaald doel wordt verwerkt, en de monitoring van de concrete uitwisseling van gegevens. Tot slot wordt erop gewezen dat ook door middel van privacy audits als bedoeld in artikel 1.10 zal worden gecontroleerd of verwerkingen van informatie binnen de doelstellingen van het samenwerkingsverband hebben gepast. De hier genoemde waarborgen zijn op hoofdlijnen in de WGS zelf opgenomen, maar zullen deels ook bij amvb nader worden geregeld.

Op verzoeken om informatieproducten uit het samenwerkingsverband waarbij de politie als deelnemer aan het verband een van de verzoekers is, vindt geen specifiek geregeld toezicht door het OM plaats. Dat laat onverlet dat de politie ook in dit opzicht onder het gezag van het OM opereert. Dat geldt ook voor bijzondere opsporingsdiensten, als zij deelnemer zijn.

Voor de verstrekking van informatieproducten vanuit een samenwerkingsverband aan het OM en opsporingsdiensten gelden in de eerste plaats, evenals voor andere deelnemers, de voorwaarden, zoals beschreven in artikel 1.7. Daarnaast geldt dat deze informatieproducten veelal het karakter hebben van sturingsinformatie, zoals gedefinieerd in artikel 1.1. Dergelijke informatie kan dan een eerste vermoeden opleveren dat er sprake zou kunnen zijn van een strafbaar feit of een andere onrechtmatige handeling. Voor het OM en de opsporingsdiensten geldt echter ook dat sturingsinformatie niet direct als bewijs kan worden gebruikt zonder dat er eerst nog nader opsporingsonderzoek plaatsvindt. Dat geldt in het bijzonder voor informatieproducten in de vorm van een risicotaxatie. Zeker in het geval dat zo’n taxatie louter correlatieve en geen causale verbanden laat zien, kan van een formele verdenking in de zin van artikel 27 van het Wetboek van Strafvordering (nog) geen sprake zijn. Daarvoor dienen in een nader onderzoek concrete feiten en omstandigheden op tafel te komen die erop wijzen dat iemand een bepaald strafbaar feit heeft begaan en die gebruikt kunnen worden voor de opbouw van een concreet dossier. Dit impliceert dat een verdenking en een daaruit voortvloeiend opsporingsonderzoek nooit op louter sturingsinformatie uit een samenwerkingsverband kunnen worden gebaseerd.

Vraag 79 (D66)

De aan het woord zijnde leden hebben kennisgenomen van de enkele waarborgen die in het voorstel aangaande gegevensdeling zijn opgenomen. Op sommige punten vinden zij de reikwijdte van het wetsvoorstel echter breed en weinig duidelijk omlijnd. De categorieën van gegevens die de vier samenwerkingsverbanden mogen verwerken zijn niet uitputtend opgesteld, deze kunnen worden uitgebreid middels AMvB. Hetzelfde geldt voor de deelnemers van die samenwerkingsverbanden, ook die lijst met deelnemers kan worden uitgebreid. Verder worden er geen categorieën van gegevens uitgesloten, ook geen gevoelige gegevens. Zelfs gegevens over seksueel gedrag en seksuele gerichtheid (artikel 2.21) kunnen worden verwerkt. Kan de regering toelichten waarom er niet voor gekozen is het wetsvoorstel strakker te omlijnen en zo in meer waarborgen te voorzien?

Ook voor de verwerking van persoonsgegevens onder de WGS geldt dat de verwerking van bijzondere categorieën van persoonsgegevens, die uit hun aard gevoelig zijn, op grond van artikel 9, eerste lid, AVG in beginsel verboden is. Het is niet nodig – en op grond van EU-recht zelfs niet toegestaan – dat in de WGS te herhalen. De WGS bevat op dit beginsel slechts een beperkt aantal specifieke uitzonderingen, die voldoen aan de voorwaarden die het tweede lid van artikel 9 AVG daarvoor stelt. Deze uitzonderingen zijn te vinden in de artikelen 2.21 en 2.29 en de argumenten daarvoor in de artikelsgewijze toelichting. Met betrekking tot de verwerking van gegevens over seksueel gedrag en seksuele gerichtheid door de RIEC’s geldt meer in het bijzonder dat de verwerking daarvan noodzakelijk is met het oog op de bestrijding van mensenhandel en de onderzoeken in dat kader naar illegale prostitutie en uitbuiting.

De keuze om de deelnemers van de vier samenwerkingsverbanden weliswaar zoveel mogelijk maar niet uitputtend in de WGS zelf te benoemen, vloeit eveneens uit de behoefte aan enige flexibiliteit voort. De mogelijkheid om het deelnemersveld bij amvb uit te breiden is in de artikelen 2.3, onderdeel h, 2.11, onderdeel j, 2.19, derde lid, en 2.27, vijfde lid, wel steeds aan inhoudelijke criteria gebonden, waarbij de deelname soms ook kan worden beperkt tot specifieke verwerkingen of onderdelen daarvan.

Vraag 80 (D66)

De leden van de D66-fractie lezen in het nader rapport dat naar aanleiding van het advies van de Afdeling de term «profilering» is weggelaten. Deze leden vragen of profilering nu in het wetsvoorstel onmogelijk is gemaakt. Kan de regering dit uitsluiten? Biedt de wet hier nog steeds een grondslag voor, gezien er gesproken wordt over het vastleggen van risicoprofielen? Kan de regering toelichten welke waarborgen in het voorstel zijn opgenomen om specifiek discriminatie en fouten en vooroordelen in algoritmen tegen te gaan? Waarom vereist het wetsvoorstel geen effectbeoordeling waarin partijen vastleggen welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren en weg te nemen?

Het weglaten van de term «profilering» is niet bedoeld om uit te sluiten dat de samenwerkingsverbanden onder de werking van de WGS profileren. Zoals hiervóór al is aangegeven, kan profilering immers een nuttige functie vervullen. Wel houdt het weglaten van deze term verband met de voorkeur die de regering geeft aan het bredere begrip «geautomatiseerde gegevensanalyse». Daaronder vallen niet alleen profilering, maar ook vormen van geautomatiseerde gegevensanalyse waarbij uitsluitend individuele kenmerken van de betrokken persoon in aanmerking worden genomen, bijvoorbeeld diens strafrechtelijke antecedenten. Daarin verschilt zo’n analyse van profilering, waarin ook groepskenmerken kunnen worden betrokken. Voor beide vormen van gegevensanalyse geldt echter dat vanwege het geautomatiseerde karakter daarvan, zich risico’s kunnen voordoen die om extra waarborgen vragen. Te denken valt aan risico’s door de invoer van onjuiste gegevens of het gebruik van een gebrekkige analysemethode. Om dergelijke risico’s te beperken, bevat artikel 1.9 van het wetsvoorstel bijzondere waarborgen voor het geval een samenwerkingsverband een gezamenlijke geautomatiseerde gegevensanalyse uitvoert. Met name de waarborgen in het eerste en tweede lid van dat artikel zijn mede bedoeld om – in lijn met overweging 71 bij de AVG – discriminatie en fouten en vooroordelen tegen te gaan in algoritmen die bij een dergelijke analyse worden gebruikt. Het betreft in de eerste plaats de verplichting voor de deelnemers om voor adequate en uniforme technische en organisatorische maatregelen zorg te dragen die de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse en de juistheid en de volledigheid van de te verwerken gegevens bevorderen. In de tweede plaats de verplichting om een resultaat van een gezamenlijke geautomatiseerde gegevensanalyse uitsluitend aan een deelnemer of derde te verstrekken na menselijke tussenkomst waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen.

Of een samenwerkingsverband geautomatiseerde gegevensanalyse mag uitvoeren, blijkt uit hoofdstuk 2 van het wetsvoorstel. Ingevolge artikel 2.13 mag iCOV geautomatiseerd gegevens analyseren en op basis daarvan ook profileren. Op basis van artikel 2.18, tweede lid, kunnen ook de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering, uitvoeren, doch slechts voor zover dat noodzakelijk is voor het doel van de RIEC’s en dat bij of krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid).

Het wetsvoorstel bevat geen verplichting tot effectbeoordeling waarin partijen vastleggen welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren en weg te nemen, omdat een dergelijke verplichting al ligt opgesloten in de in artikel 35 AVG geregelde gegevensbeschermingseffectbeoordeling en deze door de Autoriteit persoonsgegevens expliciet verplicht is gesteld voor gegevensuitwisseling door samenwerkingsverbanden.21

Vraag 81 (GroenLinks)

De leden van de GroenLinks-fractie lezen dat een samenwerkingsverband gezamenlijk gegevens kan verzamelen, delen en geautomatiseerd verwerken. Dit roept bij deze leden de vraag op hoe door de afzonderlijke deelnemers aan het samenwerkingsverband toezicht kan worden gehouden op de wijze waarop gegevens automatisch worden geanalyseerd. Worden eisen gesteld aan de toegepaste technologie (zoals (zelflerende) algoritmen)? Zo ja, welke? Hoe wordt hierbij het uitgangspunt van privacy by design toegepast? Wordt voorzien in onafhankelijk adequaat toezicht in het ontwerp en het toepassen van technologieën? Hoe wordt voorkomen dat door overheden en private partijen uitgewisselde informatie en automatisch gegenereerde analysen voor andere doeleinden worden gebruikt dan bedoeld in deze wet? Kan de regering aangeven welke lessen zijn getrokken uit de rechtszaak tegen SyRI?

Vraag 82 (GroenLinks)

Voornoemde leden vragen of het correct is dat ook bijzondere categorieën persoonsgegevens en persoonsgegevens van strafrechtelijke aard in het samenwerkingsverband kunnen worden gedeeld en verwerkt. Zo ja, welke extra zorgvuldigheidsvereisten worden voorgeschreven? Het gaat dan immers over persoonsgegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Hoe wordt voorkomen dat niet-relevante bijzondere persoonsgegevens worden vrijgegeven en/of (te) breed verspreid raken?

Vraag 83 (GroenLinks)

Deelt de regering de mening van de aan het woord zijnde leden dat hoe meer partijen bij een samenwerkingsverband betrokken zijn, hoe groter de veiligheidsrisico’s zijn? Op welke wijze wordt hier rekening mee gehouden bij de uitbreiding van het aantal partners? Kan dit ook een reden zijn om organisaties niet toe te laten? Aan welk beveiligingsniveau moeten organisaties voldoen?

Vraag 84 (GroenLinks)

Klopt de veronderstelling van de leden van de GroenLinks-fractie dat toezicht beperkt blijft tot een door deelnemers zelf ingestelde rechtmatigheidsadviescommissie (artikel 1.8, zesde lid)? In hoeverre is dan nog sprake van onafhankelijk en onbevooroordeeld toezicht? Moet, zo vragen deze leden, niet voor alle samenwerkingsverbanden waarop deze wet van toepassing zal zijn een overkoepelende onafhankelijke toezichthouder worden aangesteld?

Het toezicht blijft niet beperkt tot de rechtmatigheidsadviescommissie. Ingevolge artikel 1.4, tweede lid, wordt één van de functionarissen voor gegevensbescherming van de deelnemende overheidsinstanties of overheidsorganen aangewezen die als coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband optreedt en uit dien hoofde krachtens artikel 39, eerste lid, onder b, AVG, ook toeziet op de naleving van de AVG en ander gegevensbeschermingsrecht door het samenwerkingsverband. Verder dient op basis van artikel 1.10 periodiek een privacy-audit plaats te vinden. En uiteraard valt de verwerking van persoonsgegevens door het samenwerkingsverband ook onder het toezicht van de Autoriteit persoonsgegevens.

Overigens is nog van belang dat een rechtmatigheidsadviescommissie, zoals die nu al bij iCOV functioneert, uit inhoudelijke experts uit de hoek van de deelnemers bestaat die in de tweede lijn acteren en vanuit die optiek onafhankelijk adviseren ten opzichte van de eerste lijn.

Vraag 85 (GroenLinks)

Kan de regering voor de aan het woord zijnde leden per samenwerkingsverband aangeven hoe wordt omgesprongen met de toepassing van algoritmen? Wie bouwt de algoritmen? Zijn dit overheidsorganen en/of private partijen? Op welke wijze kan door burgers en maatschappelijke organisaties «onder de motorkap» worden gekeken? Wordt gebruik gemaakt van open-source? Zo nee, waarom niet? Heeft de overheid onder alle omstandigheden de bevoegdheid om de algoritmen te onderzoeken? Hoe wordt beoordeeld of de datasets van voldoende kwaliteit zijn? Op welke wijze wordt het systeem getest? Een auto gaat niet de weg op voordat het uitvoerig getest is. Hoe gaat dat hier, zo vragen voornoemde leden. In alle software zitten tekortkomingen. Hoe wordt daarop geacteerd? Wat is de toelaatbare foutenmarge bij algoritmen?

De WGS staat thans alleen voor iCOV gezamenlijke geautomatiseerde gegevensanalyse toe. Algoritmen worden voor dit doel op dit moment dan ook alleen gebruikt door iCOV. De bouw van algoritmen bij iCOV is afhankelijk van de behoefte en de werking van het desbetreffende algoritme. Alvorens algoritmes bij iCOV in gebruik worden genomen, worden deze getoetst aan de hand van richtlijnen en voorgelegd aan de rechtmatigheidsadviescommissie.22 Transparantie, validatie en controleerbaarheid van het werkende algoritme zijn voor iCOV van groot belang. Op deze aspecten vindt dan ook een grondige toetsing plaats. Indien een samenwerkingsverband een gezamenlijke geautomatiseerde gegevensanalyses verricht, moet het ingevolge artikel 1.9, derde lid, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, aan het publiek op toegankelijke wijze uitleg geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Zo wordt burgers en maatschappelijke organisaties een blik «onder de motorkap» gegeven. Wat betreft open source onderzoek geldt, zoals toegelicht in het antwoord op vraag 61, dat het wetsvoorstel geen bevoegdheid regelt voor samenwerkingsverbanden om zelf (al dan niet openbare) gegevens te vergaren. Deelnemers kunnen wel gebruik maken van informatie uit open bronnen die door deelnemers wordt aangeleverd.

De Autoriteit persoonsgegevens heeft onder alle omstandigheden de bevoegdheid om van de algoritmen die samenwerkingsverbanden gebruiken, te onderzoeken of deze functioneren in overeenstemming met het gegevensbeschermingsrecht. Zij toetst daarbij op basis van de beginselen van «rechtmatigheid», «transparantie» en «behoorlijkheid», zoals vastgelegd in de AVG. Verder kijkt zij naar de wijze waarop de in de AVG vastgelegde verantwoordingsplicht wordt uitgevoerd. Een en ander heeft de Autoriteit persoonsgegevens uitgewerkt in een specifiek kader voor het toezicht op artificiële intelligentie en algoritmes.23

Voordat een samenwerkingsverband tot een nieuw type gezamenlijke geautomatiseerde gegevensanalyse overgaat, dient het een gegevensbeschermingseffectbeoordeling uit te voeren. Volgens het model dat daarvoor binnen de rijksdienst wordt gehanteerd, dient bij een Big Data toepassing ervoor gezorgd te worden dat:

• • naarmate de mogelijkheden van patroonherkenning minder zijn, een goede validatie door experts op het desbetreffende vakgebied plaatsvindt om het risico van foutieve uitkomsten zoveel mogelijk te reduceren,

• • de data zoveel als met een redelijke inspanning mogelijk is, up to date zijn, de te gebruiken datasets een zo gering mogelijke bias (afwijking) bevatten en dat de te gebruiken algoritmen en analysemethoden deugdelijk zijn, en

• • rekening houdend met de potentiële impact van de toepassing, vooraf de foutmarge wordt bepaald die bij de toepassing mag optreden.24

Wanneer de risico’s die bij een dergelijke effectbeoordeling blijken onvoldoende kunnen worden weggenomen, is het samenwerkingsverband op grond van artikel 36 AVG verplicht voorafgaand aan de voorgenomen verwerking de Autoriteit persoonsgegevens te raadplegen. De Autoriteit persoonsgegevens zal dan advies over die voorgenomen verwerking uitbrengen.

iCOV beoordeelt de data die zij aangeleverd krijgt, waar mogelijk op juistheid en volledigheid. Controles op juistheid richten zich op het signaleren van logische onjuistheden, bijvoorbeeld de 32ste dag van een maand of een leesteken in een maand, letters in een numeriek veld etc. Controles op volledigheid zijn naar hun aard lastiger. Aangezien iCOV verschillende datasets al vaker heeft verkregen, is er een historisch beeld over de omvang van een dataset. Wanneer een dataset later weer geleverd wordt, kan worden beoordeeld of de omvang binnen een te verwachten bandbreedte valt. Deze logica is opgenomen in de software die iCOV gebruikt bij het inlezen van de data. ICOV gebruikt hiervoor het systeem Oracle Data Integrator (ODI). De logica is ingebouwd in de scripts die door ODI gebruikt worden bij het inlezen van de data. Wanneer iCOV harde fouten aantreft of twijfels heeft, neemt zij contact op met de bronhouder om uitleg te vragen of een verbeterde levering te vragen. ICOV gaat data niet zelf aanpassen. Dat zou ook onlogisch zijn, omdat de data anders een volgende keer weer met diezelfde fout geleverd worden.

Van een uniforme toelaatbare foutenmarge is geen sprake. Zoals in het kabinetsstandpunt op het WRR-rapport «Big Data in een vrije en veilige samenleving» al werd gesteld, kan de grootte van wat als toelaatbare foutmarges wordt gehanteerd, slechts per geval of categorieën van gevallen worden bepaald. Betrokken partijen dienen deze foutmarges wel zoveel mogelijk voor een ieder transparant en bespreekbaar te maken. Controle op die foutmarges, de gebruikte methodes en de consequentie daarvan is immers essentieel teneinde het risico van fouten en een ondeugdelijke interpretatie van een profiel jegens een persoon of groep zo klein mogelijk te laten zijn.25

Vraag 86 (SP)

De leden van de SP-fractie hebben reeds bij de wetsbehandeling van de AVG gewezen op de gevaren van profilering. Zo weten veel mensen vaak niet dat ze geprofileerd worden of onderhevig zijn aan geautomatiseerde besluitvorming. Persoonlijke omstandigheden worden doorgaans niet meegewogen bij automatische besluitvorming en het kan onmogelijk zijn fouten met terugwerkende kracht terug te draaien. Voornoemde leden waren dan ook tegen het invoeren van de mogelijkheid om profilering toe te staan in de AVG. Helaas is dit wel gebeurd.

Of een samenwerkingsverband geautomatiseerde gegevensanalyse mag uitvoeren, blijkt, zoals eerder al aangegeven in antwoord op vragen van de leden van de D66-fractie, uit hoofdstuk 2 van het wetsvoorstel. Ingevolge artikel 2.13 mag iCOV geautomatiseerd gegevens analyseren en op basis daarvan ook profileren. Op basis van artikel 2.18, tweede lid, kunnen ook de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering, uitvoeren, voor zover dat noodzakelijk is voor het doel van de RIEC’s en dat bij of krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid). De ZVH voeren geen geautomatiseerde gegevensanalyses uit en dus ook geen vormen van profilering in de zin van de AVG, omdat in de daarin gehanteerde definitie van profilering wordt uitgegaan van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd met als doel bijvoorbeeld persoonlijke voorkeuren of gedrag te analyseren of te voorspellen. Op basis van welke patronen en profielen lijsten worden opgesteld, laat zich niet in algemene zin beantwoorden. Het antwoord daarop hangt te zeer af van het concrete thema waarvoor de desbetreffende analyse verricht wordt. Verder is van belang dat, indien een samenwerkingsverband een geautomatiseerde gegevensanalyse verricht, het ingevolge artikel 1.9, derde lid, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, aan het publiek op toegankelijke wijze uitleg dient te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Dit zal onder de WGS de door deze leden terecht gewenste transparantie geven over de dan te hanteren analysemethoden. Deze waarborg komt bovenop de in artikel 14 AVG vastgelegde informatieverplichtingen jegens de individuele betrokkenen.

Het criterium «dubbele nationaliteiten» mag bij profilering niet worden gebruikt, tenzij daarvoor een objectieve rechtvaardiging bestaat, bijvoorbeeld omdat de profilering betrekking heeft op de uitvoering van wetgeving waarbij nationaliteit relevant is voor de toepassing ervan. In dit verband wijst het de regering erop dat het in een brief van 8 oktober jl. aan de Tweede Kamer over «Waarborgen tegen risico’s van data-analyses door de overheid» heeft geopperd toe te staan dat bij de ontwikkeling van algoritmische modellen bijzondere persoonsgegevens worden verwerkt, voor zover nodig om discriminerende effecten tegen te gaan.26 Daarmee zou een extra instrument worden gecreëerd om discriminatie bij profilering tegen te gaan.

Eerder is in deze paragraaf in antwoord op vragen van de CDA-fractie al opgemerkt dat profilering kan bijdragen aan de effectiviteit en efficiency van de taakuitvoering door overheidsorganisaties, maar – de leden van de SP-fractie wijzen daar terecht op – ook risico’s meebrengt. Reden om profilering op zich niet uit te sluiten, maar in het wetsvoorstel wel extra waarborgen tegen deze risico’s op te nemen. Wij verwijzen naar de waarborgen die wij in het antwoord op eerder bedoelde vragen van de CDA-fractie hebben genoemd (vraag 77). Deze waarborgen dienen er mede toe om het risico van stigmatisering waarop deze leden doelen, te voorkomen. Dit impliceert in concreto dat men op basis van artikel 1.9, eerste lid, onder meer maatregelen zal moeten nemen die verhinderen dat er in analyses een zichzelf versterkend effect optreedt door algoritmes te hanteren die zichzelf automatisch, dit wil zeggen zonder menselijke controle, aanpassen aan eerder behaalde resultaten.

Vraag 87 (SP)

De leden van de SP-fractie wijzen erop dat risico’s die bij profilering kunnen optreden extra groot zijn bij het combineren en analyseren van data die van verschillende organisaties afkomstig zijn, zoals bij samenwerkingsverbanden het geval is. Profilering kan het risico geven dat de betrokken individuele persoon een generiek kenmerk van een groep wordt tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee voor hem een zogenoemde false positive oplevert. Gelet op de combinatie van voornoemde risico’s is het wenselijk voor een dergelijke vorm van gegevensverwerking door een samenwerkingsverband een extra waarborg in te bouwen, in de vorm van een toestemmingsvereiste. Is de regering bereid dit alsnog in de wet op te nemen? Discriminatie of andere mensenrechtenschendingen zouden te allen tijde moeten worden voorkomen. Toch bevat het wetsvoorstel bijvoorbeeld geen effectbeoordeling (impact assessment), waarin partijen vastleggen welke acties worden ondernomen om discriminatie of andere negatieve effecten op mensenrechten te identificeren en weg te nemen. Is de regering bereid dit alsnog in het wetsvoorstel op te nemen? Zo nee, waarom niet?

Het wetsvoorstel bevatte aanvankelijk het vereiste dat de Autoriteit persoonsgegevens toestemming zou moeten geven voor profilering door samenwerkingsverbanden. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State is dat vereiste geschrapt. Met als voornaamste argument dat de Autoriteit persoonsgegevens anders intensief wordt betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan.27 Dat laat onverlet dat een samenwerkingsverband de Autoriteit persoonsgegevens ingevolge artikel 36 AVG voorafgaand aan een voorgenomen verwerking van persoonsgegevens moet raadplegen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling een hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Als de Autoriteit persoonsgegevens van oordeel is dat de voorgenomen verwerking niet aan de AVG zal voldoen, geeft zij een schriftelijk advies binnen acht weken na het verzoek om raadpleging. Het eventueel uitblijven van een reactie van de Autoriteit persoonsgegevens binnen die termijn staat er overigens niet aan in de weg dat de Autoriteit persoonsgegevens met betrekking tot de verwerking haar bevoegdheden uitoefent, met inbegrip van haar bevoegdheid om verwerkingen te verbieden.28

Tegenover het schrappen van dit toestemmingsvereiste staat dat het wetsvoorstel mede naar aanleiding van voornoemd advies van de Afdeling advisering in aanvulling op de waarborgen die het oorspronkelijke voorstel al bevatte, is uitgebreid met extra waarborgen tegen de risico’s van de gezamenlijke gegevensverwerking, met name ook die welke meegebracht kunnen worden door geautomatiseerde gegevensanalyse. Het betreft:

• • een systeem van autorisaties (artikel 1.8, tweede lid);

• • de mogelijkheid om regels te stellen omtrent de betrouwbaarheidsvereisten aan geautoriseerde personen (artikel 1.8, derde lid);

• • de verplichting om door middel van «logging» bepaalde verwerkingen van persoonsgegevens in geautomatiseerde systemen vast te leggen (artikel 1.8, vierde lid);

• • de verplichting om passende organisatorische maatregelen te treffen om te waarborgen dat gegevens enkel voor het vooraf vastgestelde doel worden verwerkt (artikel 1.8, vijfde lid);

• • de instelling van een rechtmatigheidsadviescommissie (artikel 1.8, zesde lid);

• • een uitgebreidere regeling van de vernietiging en anonimisering van verwerkte persoonsgegevens (artikel 1.8, zevende lid);

• • een adequaat beveiligingsniveau, ten minste overeenkomstig richtlijnen van de Minister van Binnenlandse Zaken en Koninkrijksrelaties (artikel 1.8, achtste lid);

• • de verplichting zorg te dragen voor adequate en uniforme technische en organisatorische maatregelen om de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse te bevorderen, alsmede de juistheid en de volledigheid van de gegevens die daarbij worden verwerkt (artikel 1.9, eerste lid);

• • de plicht tot menselijke tussenkomst bij de verstrekking van een resultaat van geautomatiseerde gegevensanalyse, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen (artikel 1.9, tweede lid);

• • de verplichting om op een voor het publiek toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid);

• • de verplichting tot terugmelding van onjuistheden in bronbestanden (artikel 1.9, vierde lid);

• • de verplichting om ingeval van een geautomatiseerde gegevensanalyse in bepaalde fasen pseudonimisering toe te passen (artikel 1.9, vijfde lid);

• • de verplichting tot een periodiek privacy audit (artikel 1.10);

• • de verplichting om een jaarverslag uit te brengen (artikel 1.12);

• • de verplichting voor ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband om ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van de resultaten was (artikel 1.7, vierde lid); en

• • de verplichting voor de deelnemers tot periodieke evaluatie op basis van deze terugkoppeling (artikel 1.7, vijfde lid).

Het wetsvoorstel bevat geen verplichting tot effectbeoordeling waarin partijen vastleggen welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren en weg te nemen, omdat een dergelijke verplichting al voortvloeit uit artikel 35 AVG en door de Autoriteit persoonsgegevens expliciet verplicht is gesteld voor gegevensuitwisseling door samenwerkingsverbanden.

De meerwaarde van profilering op basis van geautomatiseerde gegevensanalyse door een samenwerkingsverband is gelegen in die situaties waarin aan de hand van een relatief grote hoeveelheid relevante data van de betrokken partijen analyses moeten worden verricht om bijvoorbeeld tot een risicoprofiel te komen en op basis daarvan personen in beeld te krijgen die aan dat profiel voldoen, zodat er voor deze partijen sturingsinformatie ontstaat op grond waarvan zij met de hen toegewezen taken en bevoegdheden verder onderzoek kunnen doen. Toepassing van een dergelijke methode kan vele malen sneller en beter tot de gewenste sturingsinformatie leiden dan mogelijk zou zijn in een situatie waarin partijen zonder geautomatiseerde gegevensanalyse moeten werken. Voor iCOV uit zich dit in de themascan. Door gevalideerde witwasindicatoren op een representatieve dataset los te laten ontstaan er inzichten die eerder bij de individuele deelnemers niet voorhanden waren. Deze inzichten zijn met name relevant voor de aanpak ondermijnende criminaliteit.

Op dit moment behoort het werken met zogenaamde risicoprofielen niet tot de mogelijkheden voor de RIEC’s, omdat de huidige protocollen daarin niet voorzien. Het wetsvoorstel biedt een grondslag om bij amvb te regelen dat de RIEC’s geautomatiseerde gegevensverwerking gaan toepassen, zodat zij in de toekomst met risicoprofielen kunnen gaan werken. De RIEC’s hebben de wens daartoe. Indien van deze mogelijkheid gebruik gemaakt wordt, zullen de RIEC’s zelf een opzet maken voor een protocol dat zij op basis van de amvb en de daarin te stellen voorwaarden bij het gebruik van risicoprofielen zullen gaan hanteren.

De regering ziet niet goed in waarom het werken met risicoprofielen en daaraan gekoppeld eventuele profilering op gespannen voet met de onschuldpresumptie zou staan. De uitkomst van de analyse kan leiden tot bijvoorbeeld een lijst waarop personen staan met kenmerken die op een verhoogd risico wijzen dat zij beroepsfraudeur zijn, maar die nog geen verdachte zijn. Omdat er veelal sprake is van correlatie en niet van causaliteit, kan immers van een formele verdenking (nog) geen sprake zijn. Daarvoor dienen concrete feiten en omstandigheden met betrekking tot de desbetreffende persoon op tafel te komen die op fraude wijzen en die getoetst moeten worden aan de vereisten uit het Wetboek van Strafvordering. De onschuldpresumptie is dan ook een strafvorderlijk beginsel dat personen, zolang het tegendeel niet is bewezen, voor onschuldig houdt, maar is geen beginsel dat aan het recht op bescherming van persoonsgegevens ten grondslag ligt.29 Overigens neemt een en ander niet weg dat juist met het oog op de risico’s die een gezamenlijke geautomatiseerde gegevensanalyse, waaronder profilering, kan meebrengen, het noodzakelijk is de nodige waarborgen te treffen. Uit de eerdere antwoorden moge blijken dat de regering meent die in voldoende mate te hebben getroffen.

Vraag 88 (ChristenUnie)

De leden van de ChristenUnie-fractie staan een grote terughoudendheid voor waar het gaat om het toekennen van bevoegdheden voor geautomatiseerde gegevensanalyse, zoals profilering. Zij maken zich dan ook zorgen over de toelichting bij artikel 2.18, tweede lid. Zij vragen de regering te onderbouwen aan welke vormen van profilering gedacht mag worden. Betekent dit dat iemand verdacht kan worden, niet op basis van feitelijke handelingen, maar op basis van het voldoen aan kenmerken die binnen een «risicoprofiel» passen?

Vraag 89 (ChristenUnie)

Welke lessen die kunnen worden getrokken uit voormelde uitspraak van de rechtbank Den Haag over SyRI en de kinderopvangtoeslagenaffaire worden bij geautomatiseerde gegevensanalyse betrokken? Is overwogen de AP bij toekenning van bevoegdheden op basis van dit artikel een rol te geven?

Vraag 90 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering kan aangeven op welke wijze en door wie de afweging gemaakt wordt tussen het uitwisselen van data, de daarmee voorgestelde inbreuk op grondrechten zoals privacy en het gewicht van het algemeen belang. Kan de regering aangeven op welke wijze controlerende instanties zoals de AP en het parlement toezicht kunnen houden op die afweging? Wordt bij elke afweging ook onderzocht of het algemene belang ook gediend kan worden door middel van een minder ingrijpende methode of beleidsinzet? Zo nee, waarom niet?

Het zijn primair de deelnemers aan een samenwerkingsverband die in hun rol van verwerkingsverantwoordelijken moeten afwegen of het uitwisselen van persoonsgegevens en de verdere verwerking in een bepaalde situatie noodzakelijk is voor het doel van dat verband. Dit noodzakelijkheidsvereiste brengt mee dat zij de uitwisseling en verdere verwerking moeten toetsen aan de eisen van proportionaliteit en subsidiariteit: de inbreuk die daarvan het gevolg is, moet evenredig zijn met de zwaarte van het belang waarvoor zij dient plaats te vinden, en dat belang kan niet op een minder ingrijpende wijze worden bereikt. De rechtmatigheidsadviescommissie heeft bij deze afwegingen een adviserende rol.

De Autoriteit persoonsgegevens houdt toezicht op de wijze waarop de deelnemers aan deze vereisten in de praktijk invulling geven. In dat verband wijzen wij erop dat de Autoriteit persoonsgegevens in haar strategie «Focus AP op 2020–2023» de uitwisseling van persoonsgegevens in samenwerkingsverbanden expliciet als aandachtsgebied voor de uitoefening van haar toezichtstaak en bevoegdheden heeft aangewezen.30

Het parlement kan Ministers ter verantwoording roepen over de wijze waarop deelnemers aan een samenwerkingsverband, voor zover die onder hun verantwoordelijkheid vallen, aan genoemde afweging invulling geven.

Vraag 91 (PvdD)

Voornoemde leden vragen op welke manier de regering garandeert dat het huidige beschermingsniveau voor bepaalde aparte categorieën data gewaarborgd blijft. Kan de regering toelichten hoe zij data die momenteel alleen door opsporingsambtenaren bekeken mogen worden wil gaan delen en tegelijkertijd de waarborg kan behouden dat alleen speciale opsporingsambtenaren deze data bekijken?

Bij data die momenteel alleen door opsporingsambtenaren mogen worden bekeken, doelen deze leden waarschijnlijk op politiegegevens. Op grond van artikel 7 van de Wet politiegegevens (Wpg) geldt daarvoor een geheimhoudingsplicht, behoudens voor zover – onder andere – een bij of krachtens de wet gegeven voorschrift tot verstrekking verplicht of de Wpg verstrekking toelaat. Dit impliceert dat nu al anderen dan opsporingsambtenaren van politiegegevens kennis mogen nemen, als de verstrekking daarvan op grond van de eerder bedoelde uitzonderingen mogelijk of zelfs verplicht is. Artikel 4.1 van het wetsvoorstel bevat een wijziging van artikel 20 Wpg die zo’n uitzondering schept. Deze wijziging impliceert dat, indien de politie of de Koninklijke marechaussee deelneemt aan een samenwerkingsverband als bedoeld in de WGS, de verwerkingsverantwoordelijke (korpschef c.q. Minister van Defensie), in overeenstemming met het bevoegd gezag (de officier van justitie), aan het samenwerkingsverband politiegegevens verstrekt, voor zover dit noodzakelijk is voor het doel van dat verband, tenzij naar het oordeel van de verwerkingsverantwoordelijke zwaarwegende redenen zich daartegen verzetten. Op basis van artikel 46 Wpg geldt dit ook voor deelname van bijzondere opsporingsdiensten en buitengewoon opsporingsambtenaren.

Bij zwaarwegende redenen om van verstrekking af te zien moet in ieder geval worden gedacht aan redenen die verband houden met opsporingsbelangen, een oordeel dat is voorbehouden aan de officier van justitie. Over de vraag of daarvan sprake is, hebben andere deelnemers in het samenwerkingsverband dan de deelnemer die de gegevens zou verstrekken, geen zeggenschap.

Verder bevat het gewijzigde artikel 20 Wpg de mogelijkheid om bij amvb aan verstrekkingen als hier bedoeld voorwaarden en beperkingen te stellen. Ook deze kunnen gelegen zijn in het beschermen van opsporingsbelangen.

Vraag 92 (PvdD)

Voorts willen de leden van de Partij voor de Dieren-fractie graag enige vragen stellen over het gebruik van profilering. Veel van de werkzaamheden in samenwerkingsverbanden lijken namelijk te draaien om het opstellen van risicoprofielen aan de hand waarvan risico-inschattingen gemaakt zouden kunnen worden. Kan de regering aangeven in hoeverre dit soort inschattingen nauwkeurig en vooral objectief zijn gebleken in de afgelopen jaren?

Wat heeft de regering gedaan met de terechte kritiek van Amnesty International dat beleid gebaseerd op risicoprofielen en het risico gestuurd werken een aantasting is van het onschuldbeginsel? Heeft de regering meer actie ondernomen dan alleen het toevoegen van enkele zwakke waarborgen en het schrappen van het woordje profilering?

Voor de aan het woord zijnde leden is niet te bevatten dat, gegeven het leed dat de overheid zelf veroorzaakt heeft met dit soort risicoprofielen bij de toeslagenaffaire, de regering namens diezelfde overheid nu inzet op het grootschalig gebruik van dit soort risicoprofielen. Zij vragen de regering hoe zij garandeert dat het voorliggend wetsvoorstel niet opnieuw tot zulke situaties gaat leiden. Deelt de regering de mening dat het feit dat het wetsvoorstel de kans op dit soort misstanden vergroot op zichzelf al reden genoeg is om het wetsvoorstel in zijn geheel terug te nemen? Zo nee, waarom neemt de regering bewust dit risico op herhaling?

Op de vraag in hoeverre inschattingen op basis van risicoprofielen nauwkeurig en vooral objectief zijn gebleken in de afgelopen jaren, wijst de regering graag op de praktijk bij iCOV. Zij doet dit door met menselijke tussenkomst de scores op de indicatoren te controleren op hun juistheid. Daarbij is gebleken dat uit de data ook personen en objecten scoren die al in beeld bij de aanvragende deelnemer waren. De data bevestigen hierbij wat er in de praktijk al wordt waargenomen.

Voor een antwoord op de vragen van deze leden met betrekking tot het onschuldbeginsel en de getroffen waarborgen verwijst de regering in de eerste plaats naar antwoorden op vergelijkbare vragen die leden van de SP-fractie in deze paragraaf hebben gesteld (vraag 87). Het wetsvoorstel voorziet in waarborgen en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van deze wet te kunnen stellen (artikel 1.8, eerste lid). Door naleving van deze kaders, in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties als bij de toeslagenaffaire voorkomen.

De Afdeling advisering van de Raad van State heeft over het haar voorgelegde wetsvoorstel opgemerkt dat niet vaststaat dat de daarin vastgelegde bevoegdheden tot gegevensverwerking (waaronder systematische verwerking en profilering) noodzakelijk en proportioneel zijn voor alle soorten samenwerkingsverbanden die onder het voorstel gebracht kunnen worden. Mede met het oog daarop heeft de regering de werking van het wetsvoorstel teruggebracht tot in eerste instantie vier samenwerkingsverbanden die een belangrijke functie vervullen bij onder meer de aanpak van ondermijnende criminaliteit en is de mogelijkheid van geautomatiseerde gegevensanalyse beperkt tot iCOV. Voor de redenen verwijzen wij naar de memorie van toelichting, par. 4.2 en de toelichting op artikel 2.13. Verder kunnen de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering, uitvoeren, voor zover dat noodzakelijk is voor het doel van de RIEC’s en dat bij of krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid). De ZVH voeren geen geautomatiseerde gegevensanalyses uit en dus ook geen vormen van profilering.

De Autoriteit persoonsgegevens hoeft niet bij elke vorm van profilering te worden betrokken. Wel moet zij op grond van artikel 36 AVG vooraf worden geraadpleegd over een voorgenomen vorm van profilering, als de uitkomst van de gegevensbeschermingseffectbeoordeling een hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Zo’n beoordeling is bij een verwerking door een samenwerkingsverband verplicht. Zoals in reactie op een vraag van de SP-fractie al is opmerkt, bevatte het wetsvoorstel aanvankelijk het vereiste dat de Autoriteit persoonsgegevens toestemming zou moeten geven voor profilering door samenwerkingsverbanden, maar is dat vereiste naar aanleiding van het advies van de Afdeling advisering van de Raad van State geschrapt.

Vraag 93 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen hoe de regering voorkomt dat onderscheid gemaakt gaat worden in de risicoanalyses op basis van indicatoren waarvan onze Grondwet verbiedt dat onderscheid wordt gemaakt. Hoe voorkomt de regering dat, zoals in de toeslagenaffaire het geval bleek, er onderscheid gemaakt wordt op basis van nationaliteit?

Vraag 94 (PvdD)

De aan het woord zijnde leden vragen de regering of haar visie op het wetsvoorstel nog veranderd is aan de hand van de ontwikkelingen in het dossier van de toeslagenaffaire. Zeker nu bekend is geworden dat ook daar aan de hand van data-analyses risicogestuurd gewerkt werd en op basis van bijvoorbeeld nationaliteiten geselecteerd werd wie extra aandacht behoefde. Voor de leden van de Partij voor de Dieren-fractie heeft dit voorbeeld eens temeer duidelijk gemaakt dat het eeuwige streven naar harde efficiëntiewinst ten koste kan gaan van zachtere waarden. Het streven naar absurde niveaus van efficiëntie leidde ertoe dat data bepaalden wie schuldig was en wie niet. Het leidde ertoe dat elke vorm van menselijk contact uit het zicht verdween. Daarmee verdween ook de compassie die nodig was en de mogelijkheid om iemand aan te spreken op de misstanden. Het is het verdwijnen van dit soort zachtere waarden en het ongelimiteerde vertrouwen in data-analyses die het mogelijk maakte dat de toeslagenaffaire de proporties kon krijgen die ze uiteindelijk kreeg.

Vraag 95 (VVD)

De leden van de VVD-fractie lezen dat de AP een belangrijke toetsende rol zal gaan spelen met betrekking tot concrete gegevensverwerkingen in samenwerkingsverbanden. Overwegende dat de AP, naast haar toekomstige toetsende rol, ook een dagelijkse adviserende rol heeft, vragen deze leden in hoeverre de nieuwe toetsende rol kan worden uitgevoerd door de AP. Ook gegeven haar huidige capaciteiten, zowel bezien vanuit expertise als vanuit de uitvoering. Welke mogelijkheden zijn er om toch over te gaan tot gegevensverwerking in samenwerkingsverbanden als een voorgeschreven voorafgaande raadpleging van de AP niet kan worden afgewacht? Kan dan toetsing achteraf plaatsvinden? Welke waarborgen zijn getroffen in het wetsvoorstel om te voorkomen dat uitvoering van de wet de facto afhankelijk wordt van dit zelfstandig bestuursorgaan? De leden van de VVD-fractie wijzen op de lessen die kunnen worden getrokken naar aanleiding van de uitwisseling van informatie bij de Belastingdienst. Gezamenlijke uitwisseling van gegevens en data-analyse kan grote meerwaarde hebben bij de vervolging van criminelen en het voorkomen van criminaliteit, maar verkeerde inschattingen van deelnemers om gegevens te verwerken kunnen grote gevolgen hebben voor burgers. Voor gezamenlijke data-analyse is vooraf toestemming vereist van de AP. Kan de regering motiveren waarom is gekozen voor deze constructie? Gaat dit niet teveel ten koste van de effectiviteit van data-analyse? Is de AP toegerust om een afweging te maken tussen het belang van gegevensverwerking voor het belang van opsporing en criminaliteitsbestrijding enerzijds en privacy anderzijds? Wat zal de AP nu anders gaan doen bij het geven van toestemming dan dat ze nu al doet in haar rol als privacytoezichthouder? Krijgt de AP meer ruimte, zodat ze verwerkingen die nu nog niet mogen, als dat nodig is voor criminaliteitsbestrijding kunnen toestaan? Zijn er alternatieven overwogen, zoals een toets van een rechter-commissaris?

Vraag 96 (VVD)

Op welke wijze is in de samenwerkingsverbanden geborgd dat criminaliteitsbestrijding zo transparant en rechtvaardig mogelijk is? Graag ontvangen de leden van de VVD-fractie een reactie hierop van de regering.

Transparantie is het uitgangspunt, zoals toegelicht in paragraaf 3.4 van deze memorie van toelichting. Op grond van de AVG gelden informatieplichten jegens betrokkenen, maar hierop bestaan uitzonderingsgronden. Zo geldt onder meer een uitzondering indien het verstrekken van de informatie de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen (artikel 14, vijfde lid, onderdeel b, AVG). In aanvulling op paragraaf 3.4 merken wij op dat voorkomen moet worden dat potentiële criminelen een kijkje in de keuken hebben kunnen nemen en hun kennis over de informatiepositie en werkwijze van de handhavingsorganisaties kunnen uitbreiden. Als (volledig) bekend wordt wat de werkwijze is, is er het risico dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van bijvoorbeeld een profiel en de effectiviteit van het toezicht worden verminderd.

Het wetsvoorstel bevat specifieke transparantieverplichtingen binnen de grenzen van het mogelijke: indien een samenwerkingsverband gezamenlijke geautomatiseerde gegevensanalyse verricht, verschaft het, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, op een voor het publiek toegankelijke wijze uitleg over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid).

Het wetsvoorstel schrijft bovendien voor dat het samenwerkingsverband jaarlijks een jaarverslag opstelt waarin een verantwoording wordt gegeven van de effectiviteit en bruikbaarheid van de resultaten van de gegevensverwerking door het verband (artikel 1.12).

Vraag 97 (VVD)

Het verstrekken van belastinggegevens door de Belastingdienst aan de politie, in de fase waarin nog geen sprake is van een strafrechtelijke verdenking, zou kunnen helpen voor het slagvaardig optreden bij het aantreffen van onverklaarbaar vermogen en voor het acteren bij verdachte transacties. Welke ruimte ziet de regering tot dergelijke afspraken te komen?

Vraag 98 (CDA)

De leden van de CDA-fractie lezen dat op grond van artikel 36, vierde lid, van de AVG de AP een toetsende rol vooraf heeft met betrekking tot concrete gegevensverwerkingen in samenwerkingsverbanden. Zij vragen de regering hoe een dergelijke toetsing in de praktijk eruit ziet? Heeft de AP op dit moment in andere gevallen een dergelijke toetsende rol vooraf? Ook vragen deze leden aan de regering of een dergelijke toetsende rol vooraf niet tot onnodige verstarring en bureaucratie gaat leiden. Welke gevolgen heeft het als de AP na toetsing een negatief advies uitbrengt?

Vraag 99 (D66)

De leden van de D66-fractie verwijzen naar de SyRI uitspraak waarin wordt gesproken (r.o. 6.97–6.99) over een integrale toets vooraf door een onafhankelijke derde wanneer sprake is van op grote schaal systematisch analyseren van gegevens. Die noodzakelijkheidstoets raakt zowel het doelbindingsbeginsel als het dataminimalisatiebeginsel. Voornoemde leden vragen hoe deze noodzakelijkheidstoets is vormgegeven in dit wetsvoorstel. Zij vernemen dat er een voorafgaande toetsende rol is van de AP, maar alleen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling is dat sprake is van een hoog risico wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Waarom is er niet voor gekozen de AP altijd vooraf te laten adviseren over het systematisch analyseren van data? Is nu de voorgestelde toetsende rol van de AP bindend? Wat gebeurt er wanneer de AP negatief adviseert?

Vraag 100 (D66)

Is de regering van mening dat op dit punt deze wetgeving de «SyRI-toets» doorstaat?

Vraag 101 (GroenLinks)

De leden van de GroenLinks-fractie vragen welke praktische gevolgen dit wetsvoorstel zal hebben voor de betrokkenheid van de Uitvoeringswet AVG in het algemeen en de positie van de AP in het bijzonder. Welke rol heeft de AP precies in het voorafgaande toezicht op de samenwerkingsverbanden en is de AP in staat om deze rol ook adequaat te vervullen? Hoe bindend is de uitkomst van de raadpleging van de AP voor samenwerkingsverbanden? Kan een oordeel van de AP terzijde worden geschoven? Graag ontvangen deze leden een toelichting hierop.

Vraag 102 (VVD)

De leden van de VVD-fractie vragen op welke wijze is gewaarborgd dat samenwerkingsverbanden en deelnemende partijen afzonderlijk effectief aanspreekbaar zijn voor degenen die politieke verantwoordelijkheid dragen voor de deelnemende partijen? De Afdeling heeft in dit kader ook zorgen geuit over de verantwoordelijkheid voor de gegevensverwerking. Op welke wijze is het samenwerkingsverband als geheel effectief aanspreekbaar voor degene die politieke verantwoordelijkheid draagt? Kan de regering per samenwerkingsverband aangeven wie politiek verantwoordelijk en aanspreekbaar is en ook hoe verantwoording wordt afgelegd?

Vraag 103 (VVD)

Daarnaast is het zo dat intergemeentelijke informatie uitwisseling nog steeds niet mogelijk is vanwege beperkingen in sectorale wetgeving waar gemeenten aan gehouden zijn. Wat voor oplossing ziet de regering hiervoor?

Vraag 104 (CDA)

De leden van de CDA-fractie constateren dat onderhavig wetsvoorstel aan vier samenwerkingsverbanden een wettelijke basis geeft en daarmee ook een basis geeft voor onderlinge gegevensverwerking. Deze leden vragen de regering of onderhavig wetsvoorstel ook een oplossing kan bieden voor informatiedeling binnen een organisatie, bijvoorbeeld een gemeente. Deze leden signaleren dat op dit moment informatiedeling binnen de gemeentelijke organisatie vaak niet (goed) mogelijk is, bijvoorbeeld tussen de domeinen zorg en veiligheid.

De voorgenoemde leden vragen de regering wat er geregeld wordt voor informatiedeling tussen de vier genoemde samenwerkingsverbanden, in het bijzonder informatiedeling tussen de RIEC’s en de Zorg- en Veiligheidshuizen. De aan het woord zijnde leden signaleren dat de aanpak van jeugdigen en het voorkomen van verdere recidive bij specifieke jeugdigen op het grensvlak van beide samenwerkingsverbanden ligt, waardoor informatiedeling op dat terrein van meerwaarde kan zijn. Hoe ziet de regering dat?

Vraag 105 (CDA)

De aan het woord zijnde leden willen weten hoe de regering een mogelijkheid van een samenwerkingsverband met enkel notarissen beoordeeld. Een dergelijk samenwerkingsverband zou onder het huidige wetsvoorstel niet mogelijk zijn omdat het verband dan enkel uit private partijen bestaat, maar het zou wel van meerwaarde zijn als notarissen elkaar van informatie kunnen voorzien waar het gaat om twijfelachtige transacties of personen. De leden van de CDA-fractie vragen een reactie van de regering hierop.

Vraag 106 (GroenLinks)

De leden van de GroenLinks-fractie vragen hoe dit wetsvoorstel zich verhoudt tot reeds bestaande overheidsbevoegdheden en samenwerkingsverbanden. De Belastingdienst bijvoorbeeld heeft convenanten met heel veel samenwerkingsverbanden. Kan via de Belastingdienst informatie van het ene samenwerkingsverband bij het andere samenwerkingsverband landen? Zo nee, hoe wordt dat dan in de praktijk voorkomen? De leden vragen zich verder af wat de rol van de inlichtingen- en veiligheidsdiensten precies is. Krijgen zij toegang tot de door samenwerkingsverbanden gedeelde en verwerkte persoonsgegevens? Zo ja, geldt hiervoor een notificatieverplichting?

Vraag 107 (SP)

De leden van de SP-fractie vragen wat de reactie van de regering is op de oproep van de Koninklijke Notariële Beroepsorganisatie (KNB) om de geheimhoudingsplicht voor notarissen in stand te houden en in het wetsvoorstel dus een uitzondering op te nemen voor gegevens van cliënten die onder de geheimhoudingsplicht van de notaris vallen en het daaraan gekoppelde wettelijke verschoningsrecht. Ziet de regering een rol voor notarissen in het verstrekken van gegevens in samenwerkingsverband? Zo ja, hoe ziet zij die rol dan precies?

Vraag 108 (SP)

Klopt het, zo vragen de aan het woord zijnde leden voorts, dat deze wet ten aanzien van binnengemeentelijke informatiedeling geen oplossing biedt?

Vraag 109 (ChristenUnie)

De leden van de ChristenUnie-fractie constateren dat gemeenten en samenwerkingsverbanden niet alleen problemen in de gegevensdeling onderling kennen, maar ook binnen de eigen organisatie. Een bekend voorbeeld hiervan is de re-integratie van tbs’ers waarbij de gemeentelijke schuldhulpverlening en zorginstanties geholpen kunnen zijn bij informatiedeling. Zij vragen of de wet hiertoe ook mogelijkheden biedt? Voorts vragen zij of door de regering afdoende gebruik wordt gemaakt van de mogelijkheid die artikel 18a, zesde lid, van de Wet straffen en beschermen biedt voor gegevensdeling bij re-integratie.

Dit wetsvoorstel is niet specifiek gericht op informatiedeling bij re-integratie van tbs’ers.

Het door deze leden genoemde artikel 18a, zesde lid, van de Penitentiaire beginselenwet (Pbw) dat is opgenomen in de Wet straffen en beschermen ziet evenmin op tbs’ers. Het heeft uitsluitend betrekking op gedetineerden in de zin van de Pbw. Het gaat om een grondslag voor gegevensverstrekking tussen DJI, gemeente en reclassering met het oog op nazorg. Het biedt daarmee geen grondslag voor gegevensverstrekking aan andere partijen of voor andere doelen. De inwerkingtreding van de Wet straffen en beschermen is voorzien voor 1 mei 2021. Na de inwerkingtreding zal deze grondslag worden benut om gegevens tussen voornoemde instanties uit te wisselen met het oog op het op orde krijgen van de vijf basisvoorwaarden voor een delictvrij bestaan en de continuïteit van interventies en zorgtrajecten.

Van de gegevensverwerking op grond van artikel 18a, zesde lid, Pbw, moet worden onderscheiden de mogelijkheid waarin onderhavig wetsvoorstel voorziet om in Zorg- en Veiligheidshuizen gezamenlijk gegevens te verwerken waar dat noodzakelijk is voor de behandeling van complexe casuïstiek op het snijvlak van zorg en veiligheid. Naast DJI, gemeente en reclassering, zijn ook andere instanties betrokken bij het Zorg- en Veiligheidshuis en kunnen ook gegevens over andere doelgroepen dan gedetineerden (zoals tbs’ers), in het Zorg- en Veiligheidshuis worden verwerkt.

Vraag 110 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering kan ingaan op de juridische status van de samenwerkingsverbanden. Waarom is er niet voor gekozen de samenwerkingsverbanden een juridische entiteit te laten worden en tegelijk de verantwoordelijkheden zoals die nu belegd zijn bij de deelnemers te behouden? In hoeverre is vol te houden dat deze samenwerkingsverbanden geen juridische entiteiten zijn als de samenwerkingsverbanden wel gemandateerde beslissingsbevoegdheden kunnen krijgen? De regering geeft aan dat regelingen getroffen moeten worden voor de huisvesting, ICT-voorzieningen, ondersteuning en personeel. Is dan vol te houden dat er geen sprake is van een juridische entiteit?

De regeling van de organisatie, inrichting, positionering en het beheer van het samenwerkingsverband is, voor zover daar behoefte aan is en het wetsvoorstel er niet in voorziet, voorbehouden aan de deelnemers. Een samenwerkingsverband vraagt inderdaad om ondersteuning in de vorm van huisvesting, ICT-voorzieningen, ondersteuning en personeel. Daar zijn verschillende modaliteiten voor denkbaar die niet vereisen dat het samenwerkingsverband als zodanig een juridische entiteit met eigen bevoegdheden wordt.

Deelnemers kunnen hun eigen voorzieningen aan elkaar ter beschikking stellen of afspraken maken over gezamenlijk gebruik van deze voorzieningen en elkaar daarbij mandaat of volmacht verlenen, met inachtneming van de regels van de Algemene wet bestuursrecht en het Burgerlijk Wetboek. Mandaat of volmacht wordt dus in voorkomende gevallen verleend aan de deelnemers en niet aan het samenwerkingsverband als zodanig.

Vraag 111 (VVD)

De leden van de VVD-fractie constateren dat aan het FEC, als één van de voorgestelde samenwerkingsverbanden, ook het programma FEC terrorismefinanciering verbonden. Van de deelnemende partijen zoals de Immigratie- en Naturalisatiedienst (IND), de Koninklijke marechaussee, het Bureau Financieel Toezicht (BFT) en de Algemene Inlichtingen- en Veiligheidsdiensten (AIVD) beperkt hun deelname zich tot het verstrekken van gegevens en het verkrijgen van informatieproducten uit het programma. Hoe verhoudt deze taakverdeling zich tot het takenpakket van andere deelnemers van het programma FEC terrorismefinanciering zoals het OM, de politie, de Financial Intelligence Unit-Nederland, de Belastingdienst, de Fiscale Inlichtingen- en Opsporingsdienst (FIOD), de Autoriteit Financiële markten en de Nederlandsche bank?

Overwegende dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) als taak heeft het risico op terroristische aanslagen in Nederland zoveel mogelijk te verkleinen, vragen deze leden waarom de NCTV geen onderdeel uitmaakt van het programma FEC terrorismefinanciering?

Vraag 112 (D66)

De leden van de D66-fractie lezen dat, naast de in artikel 2.3 genoemde deelnemers aan het FEC, ook een aantal private partijen (banen en verzekeraars) samenwerken met het FEC. Deze leden vragen waarom deze private partijen niet zijn opgenomen als deelnemer. Dezelfde vraag geldt ten aanzien van de partijen die niet in artikel 2.3 zijn genoemd, maar wel deelnemen aan het programma FEC terrorismefinanciering. Voornoemde leden vragen zich voorts af waarom de door de regering genoemde waarborgen, zoals aanwijzing van een regisseur of vastlegging van het GAZO-principe niet in de wet zijn opgenomen. Deze leden ontvangen op dit punt graag een toelichting.

Het GAZO-principe (geen actie zonder overleg) houdt volgens artikel 4 van het Informatieprotocol FEC 201932 in dat er geen gebruik mag worden gemaakt van de ingebrachte persoonsgegevens zonder overleg met en instemming van de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.

Uit het voorgestelde artikel 1.7, eerste lid, volgt dat de resultaten van de gegevensverwerking niet worden verstrekt als naar het oordeel van een of meer deelnemers op wier gegevens de resultaten zijn gebaseerd, zwaarwegende redenen zich tegen de verstrekking verzetten. De verstrekking van de resultaten aan een derde vindt niet plaats als een deelnemer bezwaar heeft (artikel 1.7, tweede lid). Deze bepalingen zijn vergelijkbaar met het GAZO-principe.

Vraag 113 (VVD)

De leden van de VVD-fractie lezen dat het samenwerkingsverband ICOV te maken had met knelpunten door bestaande geheimhoudingsplichten. Er wordt gesteld dat het wetsvoorstel een einde maakt aan dit knelpunt waardoor nu meer data van deelnemers aan het samenwerkingsverband gecombineerd kunnen worden. Kan worden toegelicht hoe de geheimhoudingsplichten van de deelnemende partijen van het ICOV eruit zien in het wetsvoorstel en hoe deze plicht zich verhoudt tot de bestaande geheimhoudingsplichten?

Vraag 114 (CDA)

De leden van de CDA-fractie constateren dat binnen een samenwerkingsverband zoals het iCOV het mogelijk is door middel van rapportages inzichtelijk te maken waar het criminele of fiscale vermogen wordt verborgen en/of welke relaties een bevraagd persoon heeft. Deze leden begrijpen dat het iCOV alleen op verzoek werkt. Zij kunnen zich voorstellen dat er bij het uitvoeren van een rapportage nieuwe informatie tot stand komt, als resultaat van het met elkaar verbinden van afzonderlijke informatie. De voorgenoemde leden vragen de regering in hoeverre deze nieuwe informatie gedeeld mag worden binnen het samenwerkingsverband, bijvoorbeeld door een deelnemer te tippen met de informatie, zodat een deelnemer erop kan acteren. Zit daar flexibiliteit in, zodat ook onverwachte resultaten of informatie alsnog ingezet kan worden voor de uitvoering van het doel van iCOV?

Vraag 115 (VVD)

Het derde samenwerkingsverband dat met dit wetsvoorstel wettelijk wordt verankerd betreffen de RIEC’s, zo merken de leden van de VVD-fractie op. Constaterende dat de bevoegdheden van de deelnemers van de RIEC’s berusten op bestaande convenanten en dat RIEC’s onderdeel zijn van de bestuurlijke aanpak georganiseerde misdaad en overwegende dat de dreiging van de georganiseerde misdaad in Nederland toeneemt, in hoeverre biedt het wetsvoorstel dan concreet mogelijkheden voor deelnemers aan de RIEC’s om meer gegevens te kunnen delen? Op welke wijze is gewaarborgd dat flexibiliteit is verzekerd voor de RIEC’s? Bij de aanpak van ondermijnende criminaliteit is het noodzakelijk om als één overheid tijdig en efficiënt te kunnen optreden, ook binnen het samenwerkingsverband van de RIEC’s. Het wetsvoorstel legt mogelijk een grote administratieve lastendruk op aan de RIEC’s onder andere door het instellen van een rechtmatigheidsadviescommissie, het opstellen van jaarplannen enzovoorts. Hier zal veel tijd mee gemoeid zijn wat mogelijk ten koste gaat van de aanpak. Kan de regering hierop reflecteren?

In het wetsvoorstel wordt de bestaande praktijk van de RIEC’s, die nu is gebaseerd op een convenant, gecodificeerd en toekomstbestendig gemaakt – binnen de grenzen die de Afdeling advisering van de Raad van State stelt. De WGS biedt daarmee een duidelijk juridisch kader voor de praktijk. Dit betekent dat de RIEC’s na inwerkingtreding van de WGS hun bestaande praktijk ongewijzigd kunnen voortzetten. Daarbij biedt de WGS juist het voordeel dat mogelijke onduidelijkheid over de rechtmatigheid van de huidige praktijk wordt weggenomen. De regering heeft de zorgen van de stuurgroepen RIEC’s over inflexibiliteit om in te spelen op toekomstige uitdagingen ter harte genomen en het oorspronkelijke wetsvoorstel naar aanleiding daarvan op belangrijke punten aangepast. Om de RIEC’s tegemoet te komen zijn in de WGS veel mogelijkheden gecreëerd voor innovatie en toekomstige ontwikkelingen. Zo kunnen er bij amvb en binnen de grenzen die de WGS daaraan stelt nieuwe deelnemers aan de RIEC’s worden toegevoegd en kunnen er nieuwe activiteiten worden aangewezen, waaronder profilering. Ook kunnen er binnen de kaders van de WGS nieuwe taken en bevoegdheden worden aangewezen waarvoor de deelnemers gegevens kunnen uitwisselen en kunnen er zelfs nieuwe soorten gegevens worden toegevoegd. Uiteraard zal de uitwerking samen met onder meer de RIEC’s moeten gebeuren en een zorgvuldig proces moeten doorlopen. Nieuwe mogelijkheden voor de RIEC’s zullen vanzelfsprekend ook aan de AVG moeten voldoen. Overigens is de genoemde verplichting tot het opstellen van een jaarplan uit het ontwerpwetsvoorstel geschrapt naar aanleiding van de reactie van de stuurgroepen RIEC’s.

De regering meent dat de WGS niet compleet is als er niet ook voldoende waarborgen worden geregeld ter bescherming van de privacy. Het regelen van waarborgen is ook een belangrijk eis die de Afdeling advisering van de Raad van State stelt aan een wettelijke regeling voor gezamenlijke verwerking door samenwerkingsverbanden. Om ook daarin de nodige flexibiliteit voor onder andere de RIEC’s te bereiken, voorziet het wetsvoorstel in de mogelijkheid om bij of krachtens amvb nadere voorwaarden en beperkingen aan de gegevensverwerking te stellen. Zorgen van de burgemeesters en de RIEC’s over de invulling van de waarborgen daarvan, kunnen daarom worden geadresseerd bij de voorbereiding van de amvb waarin de waarborgen nader worden uitgewerkt. Gelet op het voorgaande is de regering van mening dat het aangepaste wetsvoorstel een zorgvuldig proces heeft doorlopen, waarbij rekening is gehouden met de bestaande praktijk en de wensen van de RIEC’s.

Vraag 116 (VVD)

Is de regering het met deze leden eens dat het wenselijk kan zijn dit eerder te evalueren dan na vijf jaar?

Vraag 117 (D66)

De leden van de D66-fractie lezen dat de deelname van private partijen aan het RIEC mogelijk is bij AMvB. Deze leden vragen de regering te verduidelijken aan welke private partijen gedacht moet worden en onder welke voorwaarden informatie met private partijen kan worden gedeeld.

Vraag 118 (SP)

De leden van de SP-fractie vragen op welke manier deze wet ervoor zorgt dat er sprake zal zijn van goede informatie-uitwisseling tussen ZVH en RIEC’s. Zij vragen of de regering het eens is met de kritiek van de RIEC’s dat het wetsvoorstel bij aanvang al niet toekomstbestendig is en het wetsvoorstel niet gaat helpen om als overheid effectief te kunnen optreden tegen ondermijning.

Dit wetsvoorstel behelst geen regeling voor informatiedeling tussen de vier genoemde samenwerkingsverbanden. Dit wetsvoorstel regelt de gezamenlijke gegevensverwerking voor vier samenwerkingsverbanden. Het doel, de werkwijze, en de aard van de gegevens die aan de orde kunnen zijn bij de verschillende samenwerkingsverbanden is soms fundamenteel verschillend. Dit speelt met name bij de ZVH ten opzichte van de andere drie samenwerkingsverbanden. De doelen en werkwijzen van de samenwerkingsverbanden liggen te ver uit elkaar om hiervoor een generieke regeling te treffen die voldoet aan de eisen die de AVG en de Grondwet stellen, en waarop de Afdeling advisering van de Raad van State ook wijst. In dergelijke situaties zullen de mogelijkheden daartoe op basis van de inhoud van de casus en de mogelijkheden van de deelnemers aan beide samenwerkingsverbanden beoordeeld moeten worden. Het zal immers vaak voorkomen dat dezelfde deelnemers deelnemen aan meerdere samenwerkingsverbanden. Daarbij kan het aangewezen zijn dat deelnemers een casus bij zowel het RIEC als bij het Zorg- en Veiligheidshuis inbrengen. Bij twijfel kan daartoe een oordeel gevraagd worden aan de rechtmatigheidsadviescommissie. Wel regelt dit wetsvoorstel de mogelijkheid om gegevens uit te wisselen tussen Zorg- en Veiligheidshuizen onderling en de RIEC’s onderling, als dit noodzakelijk is gelet op het doel van de Zorg- en Veiligheidshuizen, respectievelijk het doel van de RIEC’s.

De regering is van mening dat het wetsvoorstel van grote toegevoegde waarde is voor de RIEC’s. Dit wetsvoorstel creëert grondslagen voor de verstrekking van gegevens aan de RIEC’s, de verwerking van gegevens door of binnen de RIEC’s en de verstrekking van resultaten vanuit de RIEC’s aan deelnemers en derden. Dit wetsvoorstel zorgt ervoor dat de RIEC’s voor een adequate gegevensuitwisseling niet meer afhankelijk zijn van enkel bestaande bilaterale grondslagen voor gegevensverstrekking. Daarnaast verkrijgen de RIEC’s met dit wetsvoorstel een deugdelijke grondslag voor de verwerking van een bijzondere categorie van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook worden uitzonderingen op een aantal sectorale geheimhoudingsbepalingen geregeld die ertoe dienen dat de RIEC’s meer relevante gegevens kunnen verwerken.

Vraag 119 (CDA)

De leden van de CDA-fractie begrijpen de keuze voor het opnemen van de ZVH als samenwerkingsverband in onderhavig wetsvoorstel. Deze leden constateren echter ook dat er ook regionale verschillen bestaan tussen de ZVH. Betekent de wettelijke vastlegging van de ZVH ook dat er een meer uniforme samenwerkingsvorm wordt gevraagd van de ZVH? Gaat dit in de praktijk gevolgen hebben voor de wijze waarop de verschillende ZVH zichzelf georganiseerd hebben? Kan de regering aangeven of de door de ZVH nog steeds gevraagde flexibiliteit geborgd is met onderhavig wetsvoorstel? Daarbij vragen deze leden of dat bij AMvB geregeld kan worden.

Vraag 120 (CDA)

Ten aanzien van de ZVH vragen zij ook hoe het onderwijs hierbij kan aansluiten. Deze leden menen namelijk dat onderwijs immers ook een belangrijke vindplaats is voor misstanden in de huiselijke sfeer. Voornoemde leden wijzen hierop, aangezien in artikel 2.27 onderwijs niet is aangehaakt.

Vraag 121 (D66)

De leden van de D66-fractie lezen dat de wettelijke taken van het OM in het kader van de Wet verplichte geestelijke gezondheidszorg, de Wet forensische zorg en de Wet zorg en dwang zijn opgenomen onder het regime van het wetsvoorstel. Deze leden begrijpen dat het de bedoeling is dat betrokkenen worden besproken in een casusoverleg. Voornoemde leden menen dat daarmee de strikte scheiding tussen het zorgdomein en het strafrechtdomein, zoals dat in de Wet verplichte geestelijke gezondheidszorg is neergelegd, komt te vervallen. Zij vragen de regering dat uitvoerig toe te lichten en te motiveren en daarbij ook in te gaan op (de gevolgen voor) het medisch beroepsgeheim.

Vraag 122 (D66)

Het valt de aan het woord zijnde leden verder op dat het doel van de ZVH, omschreven in artikel 2.25, zeer breed is. Dat heeft vanzelfsprekend ook gevolgen voor gegevensdeling. Deelt de regering de mening dat de doelstellingen «voorkomen, verminderen, en bestrijden van criminaliteit en ernstige overlast» en «het voorkomen en verminderen van onveilige situaties voor personen» zeer veelomvattend zijn? Waarom is er voor deze brede reikwijdte gekozen? Waarom is dit noodzakelijk? Wat wordt bijvoorbeeld bedoeld met «daaraan gerelateerde noodzakelijke werkzaamheden op het terrein van strafrechtelijke en bestuursrechtelijke handhaving»? Waarom is niet overwogen deze doelen verder te specificeren?

Vraag 123 (D66)

Het valt voornoemde leden tevens op dat de lijst met deelnemers aan de ZVH lang is. Ook worden onder artikel 2.27, tweede lid, een aantal private partijen aangewezen als deelnemer die bij of krachtens de wet taken of bevoegdheden uitoefenen of daartoe door een bestuursorgaan gemandateerd zijn. Echter, onder het vijfde lid wordt gesteld dat bij of krachtens AMvB nog andere overheidsorganen óf private partijen als deelnemer kunnen worden aangewezen, voor zover dat noodzakelijk is voor het doel, bedoeld in artikel 2.25. Dat doel is zeer breed. Waarom is deze delegatiebepaling noodzakelijk? Indien er verdere deelnemers verwacht worden, waarom is dit niet opgenomen in de wet?

Vraag 124 (D66)

Waarom is deelname van private partijen niet verder geclausuleerd? Onder welke voorwaarden kan informatie worden gedeeld met deze private partijen?

Voor zover het gaat om taken die onder mandaat van een bestuursorgaan worden uitgeoefend vertegenwoordigt de private instelling de facto het betreffende bestuursorgaan. Dit geldt bijvoorbeeld voor een wijkteam dat de toeleiding naar jeugdhulp of schuldhulpverlening uitvoert namens het college van burgemeester en wethouders. De private instelling neemt dan uitsluitend deel voor de gemandateerde taken.

Het is de instelling niet toegestaan om de gegevens die zij in het kader van het Zorg- en Veiligheidshuis, en dus namens het bestuursorgaan ontvangen te gebruiken voor andere taken. Uit de AVG vloeit reeds voort dat private instellingen die naast gemandateerde taken ook andere taken uitvoeren in hun gegevenshuishouding een scheiding dienen aan te brengen in dossiers, om te voorkomen dat er vermenging optreedt van gegevenshuishoudingen en persoonsgegevens onrechtmatig gebruikt worden voor andere taken. Het is aan het mandaterende bestuursorgaan om erop toe te zien dat de betreffende partij deze scheiding ook effectueert en maatregelen neemt om het onrechtmatig gebruik van gegevens die in het kader van de gemandateerde taak zijn ontvangen te voorkomen.

De enige private instelling die ook deel kan nemen vanuit een andere dan een specifiek wettelijke of gemandateerde taak is de GGZ-instelling. Dit is noodzakelijk omdat er bij cliënten in het ZVH relatief vaak sprake is van psychische problematiek en het dan van belang is dat ook een GGZ-instelling betrokken kan worden, ook als betrokkene niet in verplichte zorg zit. Het beleid is er immers op gericht om dergelijke verplichte zorg te voorkomen. Daarom is samenwerking met de GGZ noodzakelijk. Daarbij laat de WGS het medisch beroepsgeheim en het beroepsgeheim van de jeugdhulpverlener ongemoeid (zie artikel 2.29, tweede lid).

Voor partijen als bijvoorbeeld een welzijnsstichting die de toeleiding sociaal domein doet namens het college en ook «semi-commerciële» activiteiten ontplooit, vereist artikel 1.4, derde lid, bovendien dat een private partij ten behoeve van de inzet in het samenwerkingsverband slechts personen aanwijst die niet tevens worden belast met commerciële werkzaamheden.

Vraag 125 (D66)

De leden van de D66-fractie merken op dat ditzelfde geldt voor de categorieën gegevens die gedeeld mogen worden, geëxpliciteerd in artikel 2.30: deze categorieën zijn zeer breed. Van identificerende en contactgegevens tot financiële gegevens en inkomensgegevens, tot gegevens over gezondheid en zorg tot persoonsgegevens van strafrechtelijke aard. Bovendien wordt hier aldus het doelbindingsprincipe losgelaten. Vele soorten gegevens kunnen binnen de ZVH gedeeld worden, en ook nog tussen deze huizen (artikel 2.28), voor zover het noodzakelijk is voor het (brede) doel. Kan de regering de noodzaak hiervan uitgebreid toelichten?

Vraag 126 (D66)

Daar bovenop kunnen onder artikel 2.30, tweede lid, bij AMvB aanvullende categorieën van gegevens worden aangewezen, voor zover noodzakelijk voor het doel, bedoeld in artikel 2.25. Waarom is deze delegatiebepaling noodzakelijk?

Vraag 127 (D66)

In de memorie van toelichting lezen de aan het woord zijnde leden dat aangaande de ZVH wordt gesproken over het streven naar een «maatwerkaanpak» en een «persoonsgerichte aanpak» in casusoverleg. Betekent dit dat door de ZVH geen geautomatiseerde gegevensanalyse plaats zal vinden? Zo ja, waarom is dit niet in de wet expliciet gesteld?

Vraag 128 (GroenLinks)

De leden van de GroenLinks-fractie lezen in de memorie van toelichting dat dit wetsvoorstel regels geeft voor de (verdere) verwerking om de persoonlijke levenssfeer van de betrokkene te beschermen. Deze leden benadrukken het belang van gezamenlijk casusoverleg in ZVH, maar zijn tevens beducht voor het delen van bijzondere categorieën persoonsgegevens, bijvoorbeeld ten aanzien van ras, afkomst, politieke opvattingen en gezondheidstoestand. Voornoemde leden vragen welke voorwaarden gesteld zullen worden om te voorkomen dat dergelijke gevoelige gegevens bijdragen aan oneigenlijke afwegingen zoals bijvoorbeeld bij de Belastingdienst hebben bijgedragen aan een soort etnische profilering bij de uitvoering van de Kindertoeslagen.

Vraag 129 (VVD)

De leden van de VVD-fractie stellen dat een effectieve aanpak van ondermijning en criminaliteit vraagt om weerbaarheid, wendbaarheid en flexibiliteit. Criminelen passen zich immers snel aan, een trage overheid betekent, zoals het RIEC in het advies ook stelt, dat criminelen vrij spel kunnen krijgen. De limitering aan gegevens die verwerkt mogen worden en het feit dat nieuwe samenwerkingsverbanden bij AMvB aangewezen moeten worden, betekent dat de mogelijkheden om effectief op te treden beperkt worden. Kan de regering toelichten hoe rekening gehouden is met juist deze behoefte voor samenwerkingsverbanden om snel te kunnen handelen? In dit kader ontvangen de leden van de VVD-fractie graag ook een toelichting op de beperkte wijze waarop de werking van de gekozen samenwerkingsverbanden, zoals de RIEC’s, is vormgegeven en of dit inderdaad betekent dat reeds bestaande activiteiten van de genoemde samenwerkingsverbanden die niet in het wetsvoorstel zijn opgenomen, beëindigd zullen moeten worden. Ook is de vraag relevant of er hierdoor geen nieuwe bureaucratische processen opgezet kunnen worden? Waarom kiest de regering hier voor het vooraf precies uitschrijven van de activiteiten en werkprocessen met het risico dat er geen ruimte blijft voor innovatie en flexibiliteit? Kan de regering aangeven hoe de aanwijzing bij AMvB van nieuwe samenwerkingsverbanden in verhouding staat tot de benodigde flexibiliteit en wenbaarheid in de strijd tegen criminaliteit?

Dit wetsvoorstel kent de samenwerkingsverbanden alle nodige mogelijkheden toe om gezamenlijk gegevens te verwerken die tevens beantwoorden aan de eisen die AVG en de Grondwet stellen ter bescherming van de privacy van burgers. De WGS creëert namelijk grondslagen voor de verstrekking van gegevens aan samenwerkingsverbanden die onder dit wetsvoorstel vallen, de verwerking van gegevens door of binnen deze samenwerkingsverbanden en de verstrekking van resultaten vanuit deze samenwerkingsverbanden aan deelnemers en derden. De WGS maakt voor deze samenwerkingsverbanden mogelijk dat zij persoonsgegevens van strafrechtelijke aard, en in het geval van de RIEC’s, een bijzondere categorie van persoonsgegevens mogen verwerken. De WGS maakt voor samenwerkingsverbanden uitzonderingen op bestaande geheimhoudingsplichten uit sectorale wetgeving. Hiermee worden samenwerkingsverbanden optimale mogelijkheden geboden om snel en flexibel te handelen.

Op de vragen van de leden van de VVD-fractie over de volgens deze leden beperkte wijze waarop de werking van de samenwerkingsverbanden is vormgegeven, kan de regering aangeven dat nieuwe of verdergaande mogelijkheden tot gegevensverwerking alleen rechtmatig zijn voor zover deze duidelijk zijn begrensd en omkleed zijn met waarborgen ter bescherming van de privacy van burgers. Bij het voorstellen van nieuwe wetgeving waarin grondslagen worden opgenomen voor de verwerking van persoonsgegevens, is de Nederlandse wetgever gebonden aan de AVG, het EVRM en de Grondwet. Belangrijke eisen die de AVG aan wetgeving van een lidstaat stelt zijn o.a. de eis dat verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn, dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen mogen worden verwerkt, en dat de gegevens toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doelen waarvoor gegevens worden verwerkt moeten zijn. Door de doelen, activiteiten en werkprocessen op te nemen, voldoen de verwerkingsgrondslagen die dit wetsvoorstel voor samenwerkingsverbanden creëert, aan deze eisen. Daarbij is aangesloten bij de bestaande praktijk en bestaande activiteiten van de samenwerkingsverbanden zoals die nu zijn neergelegd in convenanten en protocollen. De bedoeling van de WGS is dan ook dat de RIEC’s hun bestaande praktijk kunnen voortzetten op een manier die in overeenstemming is met de AVG en de Grondwet. Uiteraard zullen de samenwerkingsverbanden zich bij de toepassing van de WGS in concrete gevallen óók aan de eisen uit de AVG moeten houden.

De regering heeft de zorgen van de stuurgroepen RIEC’s over inflexibiliteit om in te spelen op toekomstige uitdagingen ter harte genomen en het wetsvoorstel naar aanleiding daarvan op belangrijke punten aangepast. Om met name de RIEC’s tegemoet te komen, is de WGS zodanig vormgegeven dat deze niet onnodig in weg staat aan innovatie en rekening houdt met mogelijke toekomstige ontwikkelingen. Zo kunnen er bij amvb nieuwe deelnemers aan de RIEC’s worden toegevoegd en kunnen er nieuwe activiteiten worden aangewezen, waaronder profilering. Ook kunnen er nieuwe taken en bevoegdheden worden aangewezen waarvoor de deelnemers gegevens kunnen uitwisselen en kunnen er zelfs nieuwe soorten gegevens worden toegevoegd. Uiteraard zal de uitwerking samen met onder meer de RIEC’s moeten gebeuren en een zorgvuldig proces moeten doorlopen. Nieuwe mogelijkheden voor de RIEC’s zullen uiteraard ook aan de eisen van de AVG moeten voldoen.

Op de vraag van de leden van de VVD-fractie hoe de aanwijzing bij amvb van nieuwe samenwerkingsverbanden in verhouding staat tot de benodigde flexibiliteit en wendbaarheid in de strijd tegen criminaliteit, kan de regering aangeven dat deze amvb-mogelijkheid daar juist voor is bedoeld. De Afdeling advisering van de Raad van State heeft in haar advies bij dit wetsvoorstel aangegeven dat de hoofdelementen van gezamenlijke gegevensverwerking door samenwerkingsverbanden bij wet in formele zin moeten worden geregeld. Dit wetsvoorstel geeft daar uitvoering aan voor het FEC, iCOV, RIEC en ZVH. Om voldoende flexibiliteit te houden voor het aanwijzen van andere of nieuwe samenwerkingsverbanden, wordt met hoofdstuk 3 een delegatiegrondslag voorgesteld op basis waarvan een nieuw samenwerkingsverband bij amvb kan worden aangewezen. Daarbij wordt een bijzondere nahangprocedure voorgesteld om het parlement ook bij de aanwijzing en regeling van dit nieuwe verband te betrekken.

Vraag 130 (D66)

De leden van de D66-fractie merken op dat het wetsvoorstel «niet tot doel heeft een exclusief regime voor gegevensverwerking door samenwerkingsverbanden te creëren.» Voor zover er samenwerkingsverbanden zijn die gemeenschappelijke casusanalyses of data-analyses willen verrichten waarvoor thans geen of hooguit een suboptimale grondslag bestaat, kan worden overwogen deze tot een samenwerkingsverband om te vormen dat bij of krachtens het wetsvoorstel wordt aangewezen. Dat hoeft dus niet. Ook de AP en de Afdeling spreken over het facultatieve karakter van dit wetsvoorstel dat niet leidt tot regulering en harmonisatie van de gegroeide praktijk aan samenwerkingsverbanden. «Het is immers onzeker of samenwerkingsverbanden op grond van het wetsvoorstel zullen besluiten om onder het regime van de wet te worden gebracht. Er kunnen allerlei overwegingen van bijvoorbeeld bestuurlijke en praktische aard zijn om dat niet te doen. In dat geval zullen de genoemde doelen van het voorstel niet of maar in beperkte mate worden bereikt,» zo schrijft de Afdeling. Naast de vier bestaande samenwerkingsverbanden die wel onder de wet komen te vallen, lezen de aan het woord zijnde leden in hoofdstuk 5 van de memorie van toelichting dat andere samenwerkingsverbanden zelf mogen beoordelen of zij «onder de werking van de WGS willen gaan vallen». Waarom worden bestaande samenwerkingsverbanden waarbij geen grondslag voor dataverwerking bestaat niet formeel wettelijk onder het wetsvoorstel gebracht? Graag ontvangen voornoemde leden een reactie.

Vraag 131 (D66)

In dit verband vragen de aan het woord zijnde leden ook waarom de nieuwe Multidisciplinair Interventieteams (MIT) niet zijn opgenomen in het wetsvoorstel.

Vraag 132 (GroenLinks)

Er is kans dat criminelen hun gedrag aanpassen in reactie op observatiepraktijken, zo constateren de leden van de GroenLinks-fractie. Het is daarom van belang om de uitkomsten van big data-analyses voortdurend te analyseren en periodiek de gebruikte indicatoren te herzien. Wordt dit ook gedaan? Op welke wijze kan de Kamer hierover geïnformeerd worden? Een effectiviteitstoets van big data is methodologisch moeilijk. Hoe gaat de regering dit toch aanpakken?

De regering onderschrijft het belang van het doorlopend analyseren van de uitkomsten van gegevensanalyses. Dat geldt niet alleen voor big data-analyses, maar ook voor andere gegevensanalyses. Daarom is in artikel 1.7, vierde lid, een verplichting opgenomen voor degenen die de resultaten van de gegevensverwerking door het samenwerkingsverband ontvangen, om ten minste jaarlijks de effectiviteit en de bruikbaarheid aan het samenwerkingsverband terug te koppelen, en, indien de ontvangst van de resultaten niet tot vervolgacties heeft geleid, de redenen hiervan. Daarnaast verplicht artikel 1.7, vijfde lid, de deelnemers om periodiek de gehanteerde werkwijze te evalueren en, indien van toepassing, tevens gehanteerde patronen en indicatoren te evalueren aan de hand van de ontvangen terugkoppelingen, ten behoeve van de verbetering van die patronen en indicatoren.

In het belang van de transparantie verplicht het wetsvoorstel een samenwerkingsverband om bij gezamenlijke geautomatiseerde gegevensanalyse aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid). Ook is een jaarverslag verplicht, waarin de effectiviteit en de bruikbaarheid van de resultaten aan bod komen (artikel 1.12). Het jaarverslag moet worden bekendgemaakt door plaatsing op internet (artikel 1.12, tweede lid).

Vraag 133 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering de stelling deelt dat een inbreuk op de privacy alleen gemaakt zou kunnen worden middels een wet in materiële zin die voldoende specifieke waarborgen kent zoals artikel 8 van het EVRM dat vereist. Klopt het dat ook de AP aangaf dat het eerbiedigen van de persoonlijke levenssfeer zich vertaalt in een opdracht aan de wetgever om beperkingen van en inbreuken op dat recht in nauwkeurig geformuleerde wetgeving neer te leggen? Waarom voldoet de regering daar niet aan?

Het College voor de Rechten van de Mens stelt verder nog dat er een aantal wettelijke vereisten zijn waaraan een dergelijke wet minimaal moet voldoen om niet strijdig te zijn met het EVRM. Kan de regering voor elk van de door het College genoemde punten aangeven op welke wijze dit in het wetsvoorstel verwerkt is? Kan de regering aangeven waarom zij van mening is dat deze oplossingen en daarmee de wet stand zullen houden bij de (Europese) rechter?

De regering onderschrijft de stelling van de Partij voor de Dieren-fractie dat een inbreuk op de privacy alleen gemaakt kan worden door een wet in materiële zin die voldoende specifieke waarborgen kent zoals artikel 8 van het EVRM vereist. De WGS voldoet daaraan. De regering deelt niet de stelling dat het gebruik van artikel 6 van de AVG zoals voorgesteld in dit wetsvoorstel in strijd is met het EVRM en het Handvest van de grondrechten van de Europese Unie. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State en de adviezen van de Autoriteit persoonsgegevens en onder andere Privacy First bij het oorspronkelijke wetsvoorstel, is de aansluiting van dit wetsvoorstel op voornoemde regelgeving op belangrijke punten verbeterd. Daarbij zijn alle door de Afdeling advisering genoemde hoofdelementen van de gezamenlijke gegevensverwerking in het wetsvoorstel opgenomen voor de vier samenwerkingsverbanden FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen. Het gaat daarbij onder meer om het doel van het samenwerkingsverband, welke partijen deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij verrichten, welke gegevens zij daarbij mogen verwerken (waaronder soms bijzondere persoonsgegevens), onder welke randvoorwaarden en welke waarborgen voor de gezamenlijke gegevensverwerking gelden. Aan de hand van deze elementen creëert het wetsvoorstel in overeenstemming met artikel 6 van de AVG grondslagen voor de verstrekking van gegevens aan samenwerkingsverbanden die onder dit wetsvoorstel vallen, de verwerking van gegevens door of binnen deze samenwerkingsverbanden en de verstrekking van resultaten vanuit deze samenwerkingsverbanden aan deelnemers en derden.

Voor een nadere toelichting op de wijze waarop dit wetsvoorstel invulling geeft aan artikel 6 van de AVG, verwijst de regering naar de beantwoording van vraag 57.

Vraag 134 (VVD)

De leden van de VVD-fractie merken op dat de regering stelt dat het wetsvoorstel, voor zover het bestaande verwerkingsactiviteiten van de vier samenwerkingsverbanden codificeert, geen administratieve lasten of bestuurslasten zijn. Toch heeft de VNG onlangs nog gewaarschuwd voor een stapeling van administratieve waarborgen en verplichtingen, met name door het opstellen van privacy jaarplannen en jaarverslagen en het verplicht delen van de audits met de AP. De uitvoering van de wet wordt hierdoor te complex, dubbelgeregeld en kostbaar om hieraan te voldoen, zo waarschuwt de VNG. Graag ontvangen de leden van de VVD-fractie een reactie van de regering hierop.

Vraag 135 (CDA)

De leden van de CDA-fractie constateren dat verschillende organisaties in de consultatieronde hebben aangekaart dat er een gebrek is aan transparantie en dat de rechtsbescherming ontbreekt. Er wordt onder meer gesteld dat als iemand niet weet op welke lijstjes hij voorkomt, hij daartegen ook geen verweer kan voeren. De reactie op deze punten gaan niet in op het punt dat iemand niet altijd kan weten op welke lijstjes hij voorkomt, zo constateren deze leden. Zij vragen de regering welke waarborgen voor dat punt in de wet zijn opgenomen. In andere woorden vragen deze leden wat de regering van mensen verwacht ten aanzien van het bewaken van hun eigen gegevens. In hoeverre kan van mensen verwacht worden dat zij een besef zullen hebben van wat er met hun gegevens gebeurt?

Vraag 136 (SP)

De leden van de SP-fractie horen graag hoe wordt gereageerd op de kritiek van de Nederlandse vereniging van Banken (NVB), dat het wettelijk regelen van de samenwerkingsverbanden in een AMvB tijdrovend zal zijn en dat men alsnog besluit om minder efficiënt samen te werken door samenwerkingen aan te gaan buiten het wetsvoorstel. Ziet de regering het gevaar dat, omwille van de tijd en efficiëntie, men straks kiest om een samenwerkingsverband alsnog buiten een AMvB om op te zetten en het beoogde harmoniserend effect dus alsnog zal worden ondermijnd? Zo nee, waarom niet? Zo ja, wat wordt gedaan om dit te voorkomen? De NVB wijst erop dat het wetsvoorstel niet in de weg lijkt te staan aan bestaande publiek-private samenwerkingsverbanden, samenwerkingsverbanden waarvoor de banken nu convenanten hebben gesloten en die niet onder het wetsvoorstel vallen. Klopt dat? Zo ja, wat voegt het wetsvoorstel nu precies toe aan het palet aan mogelijkheden dat reeds nu bestaat in het kader van samenwerkingsverbanden waarbij gegevens worden gedeeld?

Vraag 137 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen welke input geleverd is door het bedrijfsleven, wat voor overleg gevoerd is met het bedrijfsleven en wat de uitkomst daarvan was. Zij willen daarover graag alle stukken en een uitvoerig verslag dat teruggaat tot het eerste moment dat over een soortelijke wet gesproken werd. De reden dat deze leden om deze informatie vragen (waar zij grondwettelijk gezien recht op hebben) is omdat het Ministerie van Justitie en Veiligheid in 2016 nog een zeer zorgwekkend convenant over gegevensuitwisseling met het bedrijfsleven achterhield voor de Kamer en de Minister van Justitie en Veiligheid weigert de daarover gestelde schriftelijke vragen (2020Z06848) binnen de termijn te beantwoorden. De rapportage daarover in de Groene Amsterdammer vonden deze leden erg zorgwekkend.33 Deelt de regering de mening dat het waarborgen van publieke belangen een publieke taak is?

Er is geen input geleverd door het bedrijfsleven of overleg gevoerd met het bedrijfsleven over dit wetsvoorstel. Wel zijn consultatiereacties ontvangen van de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars. Deze reacties zijn als bijlagen bij de memorie van toelichting meegezonden aan uw Kamer bij de indiening van dit wetsvoorstel. De consultatiereacties zijn behandeld in paragraaf 10 van de memorie van toelichting.

De aangehaalde schriftelijke vragen van het lid Van Raak (SP) met kenmerk 2020Z06848 zijn inmiddels beantwoord.34 Er is geen sprake geweest van een convenant, maar van een intentieverklaring, zoals toegelicht in de antwoorden op de vragen van de leden Van Dam (CDA) en Verhoeven (D66).35 Deze intentieverklaring had betrekking op informatie-uitwisseling van met sensoren verkregen informatie tussen de politie en de beveiligingsbranche. Het wetsvoorstel gaat daar niet over. Daarom heeft het onderwerp uit het aangehaalde artikel uit de Groene Amsterdammer geen raakvlak met het onderhavige wetsvoorstel.

Zoals opgemerkt in de antwoorden op voornoemde Kamervragen van het lid Van Raak, is veiligheid een belangrijke taak van de overheid, maar ook een gedeelde verantwoordelijkheid van alle burgers in Nederland. Ik acht het dan ook waardevol dat de overheid samen kan werken met andere partijen, waaronder bedrijven, om binnen de kaders van de wet samen te werken aan een veilig Nederland.

Vraag 138 (PvdD)

De aan het woord zijnde leden lezen in de memorie van toelichting dat belangenorganisaties tevreden zijn over de wijze waarop het medisch beroepsgeheim wordt gerespecteerd. Kan de regering aangeven in welke mate het relevant is vanuit het perspectief van de burger en het waarborgen van zijn rechten dat brancheorganisaties of instellingen vinden dat het beroepsgeheim voldoende gewaarborgd is? Heeft de regering deze vraag ook aan burgerrechten- en privacy-organisaties gesteld? Zijn zij ook van mening dat het medisch beroepsgeheim met het voorliggende wetsvoorstel nog voldoende geborgd is? Is de regering bereid hen deze vraag voor te leggen? Zo nee, waarom niet?

Vraag 139 (VVD)

De leden van de VVD-fractie constateren dat de regering heeft besloten geen hoger beroep aan te tekenen tegen de uitspraak van de rechtbank Den Haag van 5 februari 2020 (ECLI:NL:RBDHA:2020:1878) waarin de SyRI-wetgeving onverbindend is verklaard. Welke waarborgen zijn getroffen om te voorkomen dat onderhavig wetsvoorstel onverbindend wordt verklaard op basis van de criteria die de rechter in die uitspraak heeft geformuleerd? Deelt de regering de mening van voornoemde leden dat het onaanvaardbaar is voor de veiligheid van Nederlanders als één of meerdere samenwerkingsverbanden in het geheel geen gegevens meer zou kunnen verwerken? Deelt de regering voorts de mening dat de onverbindend verklaring rechtstreeks ten koste zou gaan van de inzet die door verschillende organisaties wordt gepleegd om ondermijnende criminaliteit aan te pakken?

Vraag 140 (VVD)

Voornoemde leden constateren dat in dit wetsvoorstel nauwelijks wordt gesproken over de verwerking van bijzondere persoonsgegevens (bijvoorbeeld religie), terwijl de verwerking van deze gegevens in sommige situaties zeer wenselijk is, met name in het kader van terrorismefinanciering van jihadistische aard. Overwegende dat dit wetsvoorstel niet voorziet in een wettelijke uitzondering voor de verwerking van eerdergenoemde gegevens, kan de regering toelichten waarom dit wetsvoorstel niet voorziet in een dergelijke wettelijke uitzondering?

Het wetsvoorstel heeft in beginsel op bijzondere categorieën van persoonsgegevens geen betrekking. Uit de AVG en UAVG vloeit namelijk voort dat de verwerking van bijzondere categorieën van persoonsgegevens verboden is, tenzij is voldaan aan de voorwaarden van een van de uitzonderingsgronden, genoemd in artikel 9, tweede lid, AVG. De AVG bevat een aantal rechtstreeks werkende uitzonderingsgronden. Daarnaast bevat de UAVG een aantal nationaalrechtelijke uitzonderingen op het verbod om bijzondere categorieën van persoonsgegevens te verwerken, die zijn gebaseerd op artikel 9, tweede lid, AVG. Een relevante uitzondering is het bestaande artikel 23, onder c, UAVG. Daarin is geregeld dat het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing is, indien «de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt». Het gaat hierbij om de situatie waarin persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, én dat deze gegevens tevens betrekking hebben op een bijzonder persoonsgegeven. Voor zover daarbij bijzondere persoonsgegevens moeten worden vastgelegd, laat het bestaande artikel 23, onder c, UAVG dat toe.

In het geval van gegevens over terrorismefinanciering gaat het om persoonsgegevens van strafrechtelijke aard. Het onderhavige wetsvoorstel regelt dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt (artikel 1.5, derde lid, artikel 1.6, tweede lid, artikel 1.7, zevende lid). Op grond van artikel 23, onder c, UAVG mogen in dit voorbeeld ook bijzondere categorieën van persoonsgegevens worden verwerkt, indien de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt. Indien het samenwerkingsverband zich mede richt op de aanpak van terrorismefinanciering geldt aldus een afgeleide uitzondering op het verbod om bijzondere categorieën van persoonsgegevens te verwerken. Dit is de reden dat voor terrorismefinanciering geen separate uitzondering is opgenomen op het verbod om bijzondere categorieën van persoonsgegevens te verwerken. Voor de verstrekking van gegevens door de politie, een bijzondere opsporingsorganisatie of het OM op grond van de Wpg onderscheidenlijk Wjsg geldt het voorgaande mutatis mutandis (op grond van de artikelen 5 Wpg en 39c, derde lid, Wjsg in samenhang gelezen met de bepalingen die de verstrekking aan het samenwerkingsverband regelen).

Vraag 141 (CDA)

De leden van de CDA-fractie lezen dat de aanleiding van het wetsvoorstel de aanpak van fraude is. Onder meer om het wetsvoorstel voldoende reikwijdte te geven is gekozen voor een grondslag die verder strekt dan enkel de aanpak van fraude. Een samenwerkingsverband mag gezamenlijk gegevens verwerken voor zover dat noodzakelijk is voor een bij of krachtens deze wet vastgesteld doel van zwaarwegend algemeen belang. De aan het woord zijnde leden wijzen hierbij op voormelde uitspraak van de rechtbank Den Haag waar onder meer gesproken wordt over het belang van het bereiken van een «fair balance» waarbij de mogelijke inbreuk op privéleven noodzakelijk, evenredig en proportioneel dient te zijn in verhouding tot de doelen in de wet. Vanzelfsprekend zijn goede waarborgen, een duidelijke wettelijke basis en inzichtelijkheid in de processen daarbij van belang, zo constateren deze leden. Zij vragen de regering of zij het ook van belang acht dat, in het kader van het transparantiebeginsel, er ofwel in de wet ofwel in de AMvB aangetoond moet kunnen worden waarom bepaalde gegevens tot de conclusie kunnen leiden dat sprake is van een verhoogd risico. De leden van de CDA-fractie menen dat het van belang is dat onderbouwd wordt dat gegevensverstrekking en -verwerking überhaupt leidt tot betere bereiken van de doelen van de samenwerkingsverbanden. Hoe ziet de regering dit? Kunnen de samenwerkingsverbanden aangeven waarom bepaalde gegevensverzameling of -deling daadwerkelijk nodig is om risico’s te kunnen signaleren en in kaart te brengen, zonder daarbij geheel inzichtelijk te maken hoe deze verbanden te werk gaan?

Het wetsvoorstel bevat in aanvulling op al bestaande waarborgen in de AVG verscheidene waarborgen die invulling geven aan het transparantiebeginsel, zoals de al eerder genoemde verplichting voor een samenwerkingsverband dat gezamenlijke geautomatiseerde gegevensanalyse verricht, om, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, op een voor het publiek toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Dit impliceert dat bijvoorbeeld in geval van een analyse om vastgoedfraude tegen te gaan, variabelen bekend dienen te worden gemaakt die in een dergelijke analyse gehanteerd worden. Te denken valt aan het aantal hypotheken op één naam, omdat een groot aantal hypotheken op één naam, naast andere indicatoren, kan wijzen op een zogenoemde katvangerconstructie. De drempelwaarden die men daarbij gebruikt in de vorm van het minimum aantal hypotheken op één naam, zullen echter niet bekend worden gemaakt. Als die wel bekend zouden worden gemaakt, zou dat onder fraudeurs tot calculerend gedrag kunnen leiden. Dat kan als een zwaarwegende reden worden gezien die zich tegen openbaarmaking verzet. Het is niet wenselijk om dergelijke patronen en indicatoren of andere logica in de wet of een amvb op te nemen, omdat het hier om zaken gaat die op basis van nieuwe inzichten veelvuldig kunnen veranderen, zodat vastlegging daarvan bij wet of amvb te weinig flexibiliteit zou geven.

De regering is met de leden van deze fractie van oordeel dat het van belang is dat onderbouwd wordt dat de gegevensverwerking onder de WGS ertoe leidt dat de doelen van de samenwerkingsverbanden beter bereikt worden. Daarom dient een samenwerkingsverband op grond van artikel 1.12 van het wetsvoorstel jaarlijks een jaarverslag op te stellen, waarin het de verplichte terugkoppelingen van de effectiviteit en de bruikbaarheid van de resultaten beschrijft, voor zover de bekendmaking van deze gegevens de verwezenlijking van de doeleinden van het samenwerkingsverband niet onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Dat jaarverslag moet worden bekendgemaakt door plaatsing op internet.

Vraag 142 (D66)

De leden van de D66-fractie herinneren de regering aan de discussie over het systeem SyRi, een wettelijk instrument dat de overheid gebruikte voor de bestrijding van fraude op bijvoorbeeld het terrein van uitkeringen, toeslagen en belastingen, en de daarover gevoerde rechtszaak. Zij vragen de regering uitvoerig in te gaan op die discussie en daarbij specifiek aan te geven welke waarborgen het onderhavige wetsvoorstel kent om een herhaling van de problemen te voorkomen.

De uitzondering op deze verplichting die inhoudt dat van deze uitleg kan worden afgezien voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen verzetten, moet volgens de regering restrictief worden uitgelegd. Bij deze zwaarwegende redenen moet in ieder geval worden gedacht aan de situatie waarin het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of dat de informatieverstrekking de verwezenlijking van de doeleinden van de gegevensverwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Als door het geven van voor het publiek toegankelijke wijze informatie bijvoorbeeld (volledig) bekend wordt hoe een profiel werkt, is er het risico dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van het profiel en de effectiviteit van het toezicht worden verminderd.

Daarnaast geldt dat met het gebruik van de woorden «voor zover» is beoogd te regelen dat de informatieverstrekking minder specifiek kan zijn als er zwaarwegende redenen zijn. Nadrukkelijk is niet beoogd dat dan geen informatieverstrekking plaatsvindt.

Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie van het samenwerkingsverband.

Vraag 143 (D66)

Kan zij hierbij tevens ingaan op het «Ongevraagd advies over de effecten van de digitalisering voor de rechtstatelijke verhoudingen» dat de Afdeling aan het kabinet heeft uitgebracht waarin wordt ingegaan op profileren? Verder vragen deze leden of onder het wetsvoorstel het gebruik van deep learning (zelflerende systemen) mogelijk is? Kan de regering ingaan op de bezwaren die de Afdeling in het ongevraagd advies uit over het gebruik van zelflerende systemen door de overheid, namelijk dat een bestuursorgaan daardoor slecht zijn optreden kan verantwoorden omdat de menselijke gebruiker vaak niet begrijpt waarom een zelflerend systeem een verband ziet?

De Afdeling advisering van de Raad van State wijst in genoemd advies er onder meer op dat de burger geconfronteerd kan worden met besluiten die berusten op profilering en statistische verbanden. Er is dan niet aangetoond dat de burger verwijtbaar heeft gehandeld; er is alleen een vermoeden op basis van algemene kenmerken. Tegen de achtergrond van deze overweging en overwegingen die op andere vormen van digitaal overheidsoptreden betrekking hebben, adviseert de Afdeling om de beginselen van behoorlijk bestuur, en in het bijzonder het motiveringsbeginsel en het zorgvuldigheidsbeginsel, verscherpt te interpreteren in de context van digitalisering. Dat betekent onder meer dat in een besluit moet worden toegelicht welke beslisregels (algoritmen) zijn gebruikt en welke gegevens zijn overgenomen van andere bestuursorganen.37

Van belang is dat de resultaten van de gegevensverwerking door samenwerkingsverbanden niet als besluiten in de zin van de Algemene wet bestuursrecht kunnen worden aangemerkt. Deze verbanden zijn immers geen bestuursorgaan en nemen dan ook geen besluiten. Wel leveren die resultaten sturingsinformatie op die de deelnemers aan een verband naast andere informatie kunnen gebruiken om op basis van de hen toebedeelde bevoegdheden zo nodig besluiten te nemen. Dergelijke besluiten dienen uiteraard aan de door de Afdeling genoemde beginselen van behoorlijk bestuur te voldoen, waarbij de regering de door de Afdeling genoemde noodzaak onderschrijft deze beginselen in de context van digitalisering op de door haar beschreven wijze verscherpt te interpreteren. Dit impliceert dat besluiten nimmer op louter sturingsinformatie gebaseerd kunnen worden, omdat deze informatie berust op profilering en correlaties, waarbij een rechtsgeldige causaliteit ontbreekt.

Het wetsvoorstel sluit het gebruik van deep learning (zelflerende systemen) niet uit. Wel wijst de Afdeling advisering er in haar advies terecht op dat het bij deep learning om algoritmen gaat die niets anders doen dan statistische verbanden zoeken. Zo’n statistisch verband of correlatie wijst slechts op een verhoogde waarschijnlijkheid dat er ook feitelijk een verband is. Om die reden kan ook deep learning niet meer dan sturingsinformatie opleveren. En, zoals gezegd, zal een besluit van een deelnemer nimmer op louter sturingsinformatie kunnen worden gebaseerd, omdat voor een besluit een rechtsgeldige causaliteit moet worden aangetoond. Voor zover een deelnemer meent een besluit behalve op causale verbanden mede op sturingsinformatie te moeten baseren, zal hij dat alleen kunnen doen, als hij de logica achter deze informatie kan uitleggen. Controleerbaarheid impliceert uitlegbaarheid. Daarbij gaat het erom dat de uitkomsten van data-analyses en hoe deze tot stand zijn gekomen, in begrijpelijke taal moeten kunnen worden verklaard aan betrokkenen. Gedacht kan worden aan maatregelen die duidelijkheid geven over het toegepaste model of algoritme, het doel dat daarmee wordt nagestreefd, de procedures die door het algoritme worden gevolgd, de gebruikte datasets inclusief de kwaliteit en herkomst daarvan en de variabelen en/of beoordelingscriteria die doorslaggevend zijn geweest voor de uitkomst. Zoals de regering in een brief van 8 oktober 2019 aan uw Kamer heeft laten weten, zou in het verlengde hiervan als uitgangspunt moeten gelden dat overheidsorganisaties geen algoritmes mogen hanteren die te complex zijn om redelijkerwijs te kunnen worden uitgelegd.38

Vraag 144 (GroenLinks)

De leden van de GroenLinks-fractie constateren dat de plannen om grootschalige gegevensuitwisseling mogelijk te maken niet nieuw zijn. Ook de voorgangers van deze regering hebben er werk van gemaakt. In 2015 heeft de Kamer een tussenrapportage ontvangen waarin informatiestromen binnen het Rijk in beeld zijn gebracht. Is daar inmiddels een eindrapportage van?

Voornoemde leden wijzen voorts op het gevaar van function creep. In het rapport «Big Data in een vrije en veilige samenleving» (2016) stelt de WRR: «function creep zorgt ervoor dat we via allerlei incrementele en op zichzelf te verdedigen keuzes over het toevoegen van functies, data, koppelingen en deelnemers eindigen met systemen die als geheel, en in één keer, waarschijnlijk nooit goedgekeurd waren» (pag. 88). Hoe kan de Kamer nu volledig overzicht hebben over de wijze waarop burgers worden gemonitord, en zo helpen voorkomen dat het totaalplaatje een te grote inbreuk vormt op het recht op privacy?

De eindrapportage over informatiestromen binnen het Rijk is uw Kamer toegezonden bij brief van 1 oktober 2015 van de toenmalige Minister van Veiligheid en Justitie.39

Voor zover de leden van deze fractie met monitoring van burgers doelen op de verwerking van gegevens over burgers door samenwerkingsverbanden, kan de Kamer een overzicht daarvan hebben in de vorm van de jaarverslagen die deze verbanden op grond van artikel 1.12 van het wetsvoorstel dienen op te stellen en op internet bekend te maken.

Vraag 145 (GroenLinks)

De aan het woord zijnde leden vragen hoe de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur en de datadeling met het oog op het aanpakken van de georganiseerde misdaad zich tot elkaar verhouden.

De Wet Bibob werpt een barrière op voor criminele organisaties om voor hun criminele activiteiten gebruik te maken van legale structuren en beoogt daarmee bij te dragen aan het tegengaan van vermenging van de boven- en onderwereld. Het Bibob-instrument is nadrukkelijk niet bedoeld om criminele activiteiten op te sporen of te vervolgen. Dat is immers niet een taak van bestuursorganen; het beschermen van de eigen integriteit tegen het ongewild faciliteren van criminele activiteiten wel. De Wet Bibob vormt aldus een bijzondere vorm van preventie40 in aanvulling op de integrale aanpak van ondermijnende criminaliteit. Het Bibob-instrumentarium werkt door middel van screening van personen met wie de overheid zaken doet in criminaliteitsgevoelige omstandigheden, om te voorkomen dat de overheid onbedoeld besluiten neemt die de criminele activiteiten van de onderwereld faciliteren.

Als de leden van de GroenLinks-fractie doelen op de verhouding tussen het onderhavige wetsvoorstel en het wetsvoorstel tweede tranche Bibob, kan ik daarover het volgende opmerken. Beide wetsvoorstellen verruimen de mogelijkheden voor informatiedeling in geval van ondermijnende criminaliteit. De doelstelling van de Wet Bibob is echter anders dan de doelstellingen van de samenwerkingsverbanden. Het wetsvoorstel tweede tranche Bibob verruimt de bevoegdheden tot informatiedeling tussen het Landelijk Bureau Bibob en bestuursorganen die de Wet Bibob mogen toepassen, en tussen deze bestuursorganen onderling. Anders dan bij de WGS gaat het bij de Wet Bibob niet om gezamenlijke, multilaterale gegevensverwerking in samenwerkingsverbanden, maar gaat het om een centrale administratie bij het Landelijk Bureau Bibob die kan worden bevraagd door bestuursorganen en om bilaterale gegevensuitwisseling tussen twee bestuursorganen onderling. Het wetsvoorstel tweede tranche Bibob regelt ook andere onderwerpen dan informatiedeling, zoals de uitbreiding van de reikwijdte van de Wet Bibob.

Vraag 146 (GroenLinks)

Is het mogelijk dat een vergunning geweigerd wordt op basis van informatie uit het samenwerkingsverband zonder dat getoetst is of die informatie naar alle verwachting klopt?

Vraag 147 (SP)

De leden van de SP-fractie zijn op de hoogte van voormelde uitspraak van de rechtbank Den Haag dat SyRI in strijd was met het recht op privacy, omdat SyRi onvoldoende was begrensd en geen effectieve waarborgen bood tegen misbruik en willekeur. Waarom denkt de regering dat verwerking van gegevens onder het wetsvoorstel wel stand houdt bij de rechter, terwijl het wetsvoorstel niet meer is dan een kaderwet en samenwerkingsverbanden zijn opgenomen die formeel wettelijk niet begrensd zijn? Kan dit uitgebreid worden gemotiveerd?

Vraag 148 (SP en ChristenUnie)

Voornoemde leden vragen voorts hoe de regering staat tegenover een evaluatie van de wet na één jaar, om dan al te kijken naar de werkbaarheid en uitvoerbaarheid van de wet in de praktijk?

Vraag 149 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen in hoeverre de regering zich genoodzaakt ziet het wetsvoorstel aan te passen naar aanleiding van de uitspraak van de rechtbank Den Haag inzake SyRi. De rechtbank heeft in die uitspraak nadrukkelijk geoordeeld dat de fair-balance tussen de nagestreefde publieke belangen en de daarvoor benodigde inbreuk op het privéleven niet gerechtvaardigd is. De rechter oordeelde verder dat de werkwijze en inzet onvoldoende inzichtelijk en controleerbaar waren. Hoe kan de regering van mening zijn dat met het wetsvoorstel voldoende zicht en controle op de gegevensuitwisseling en de gevolgen van die gegevensuitwisseling bestaat? Op welke wijze geeft de regering invulling aan de bijzondere verantwoordelijkheid die lidstaten wordt opgelegd bij het toepassen van nieuwe technologieën? De aan het woord zijnde leden verwachten dat het begrip «nieuwe technologieën», waar de rechter SyRi ook onder schaarde, ook zal gelden voor nieuwe samenwerkingsverbanden.

Vraag 150 (PvdD)

Net als in de memorie van toelichting staat, zo stelde de Staat in de rechtbank dat de SyRi wetgeving en werkwijze uitging van objectieve criteria en procedurele en materiële waarborgen bevatte, zo constateren de aan het woord zijnde leden. De regering moet ervan op de hoogte zijn dat de rechter hier niet in meeging. Welke aanleiding heeft de regering dan nog om op dit moment te concluderen dat het wetsvoorstel voldoende waarborgen bevat?

Kan de regering ook ingaan op het punt van controleerbaarheid? In de rechtbank voerde de Staat namelijk aan dat inzage in de werkwijze van SyRi niet aan de orde kon zijn omdat burgers hun gedrag daarop aan zouden kunnen passen. Kan de regering aangeven op welke wijze Kamerleden (of andere toezichthouders) hun controlerende taak zouden moeten kunnen uitvoeren als dit soort informatie niet openbaar mag worden?

Vraag 151 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen de regering of zij in de voorbereiding van het wetsvoorstel heeft stilgestaan bij de publieke discussie die is gevoerd rondom de invoering van de Wet op de inlichtingen- en veiligheidsdiensten 2017. Daarin is uitvoerig stilgestaan bij de mate waarin burgers het wenselijk vinden dat hun data ten behoeve van het algemeen belang verzameld en gedeeld worden. De weerstand daartegen was groot en bij meerderheid adviseerde de bevolking de regering ook om dat wetsvoorstel niet aan te nemen.

Kan de regering aangeven op basis van welke informatie zij tot de conclusie is gekomen dat in het geval van het wetsvoorstel de burgers het wel wenselijk achten dat, ondanks dat zij onschuldig zijn aan enig misdrijf, hun data verzameld en gedeeld gaat worden? Voornoemde leden zien in de beide wetten een grote overeenkomst.

Vraag 152 (PvdD)

De aan het woord zijnde leden doen vanwege alle bovenstaande argumenten dan ook de oproep aan de regering om het wetsvoorstel in te trekken. Wederom lijkt de regering van mening dat burgerrechten opgegeven dienen te worden ten behoeve van de openbare orde en veiligheid. Een valse tegenstelling die de leden van de Partij voor de Dieren-fractie verre van zich werpen. Wederom komt de regering met een wet die iedereen verdachte maakt zonder dat daar aanleiding voor is. Wederom komt de regering met een inperking van klassieke grondrechten. Wederom acht de regering het waarschijnlijk dat het verzamelen van zoveel mogelijk data de oplossing is terwijl daar weinig tot geen bewijs voor is. Dit wetsvoorstel moet van tafel, een verdere behandeling is dan ook zonde van de tijd.

Vraag 153 (CDA en D66)

De leden van de CDA-fractie lezen in het advies van de KNB dat zij ingaat op mogelijke deelname aan een samenwerkingsverband. Mede omdat de KNB een publiekrechtelijke beroepsorganisatie is en openbaar lichaam, maar de notaris zelf als private partij wordt aangemerkt, ontstaat in het wetsvoorstel onduidelijkheid zo menen deze leden. Zij vragen de regering of de definities «overheidsorgaan», «overheidsinstantie» en «private partij» in de zin van onderhavig wetsvoorstel gedefinieerd kunnen worden.

De term overheidsinstantie is opgenomen om aan te sluiten bij de AVG, die de termen overheidsorgaan en overheidsinstantie naast elkaar gebruikt. De AVG definieert deze termen niet. Omdat met het wetsvoorstel niet wordt beoogd om het begrip overheidsinstantie of overheidsorgaan op nationaal niveau een andere invulling te geven dan krachtens de AVG, zijn geen definities opgenomen. Dat laat onverlet dat een gebruikelijke definitie van overheidsorgaan is: organen van krachtens publiekrecht ingestelde rechtspersonen, alsmede andere met enig openbaar gezag beklede personen of colleges.41

De term overheidsinstantie uit dit wetsvoorstel heeft aanvullende waarde ten opzichte van de term overheidsorgaan, omdat hierdoor ook overheidsdiensten kunnen worden begrepen, zoals de Immigratie- en Naturalisatiedienst, de Dienst Justitiële Inrichtingen en gemeentelijke gezondheidsdiensten.

Onder private partij moeten in de regel privaatrechtelijke rechtspersonen worden begrepen. Omdat bij sommige samenwerkingsverbanden, zoals de Zorg- en Veiligheidshuizen, ook natuurlijke personen moeten kunnen deelnemen, is geen beperking aangebracht tot rechtspersonen. Het gaat daarbij om derden die op incidentele basis deelnemen aan het casusoverleg, namelijk partijen die actief zijn op uiteenlopende gebieden zoals huisvesting, zorg, maatschappelijke opvang, jeugdhulp, crisisopvang, woonbegeleiding, beschermd wonen, begeleiding bij geestelijke of licht verstandelijke beperkingenproblematiek, maatschappelijk werk, slachtofferzorg en huisartsenzorg, alsmede curatoren, bewindvoerders of mentoren.

Vraag 154 (D66)

Voornoemde leden menen dat het begrip sturingsinformatie belangrijk is. Zij begrijpen dat het hierbij niet gaat om een verdenking in de zin van artikel 27 van het Wetboek van Strafvordering. Kan de regering dat bevestigen?

Vraag 155 (D66)

Kan de regering ook nader ingaan op het begrip sturingsinformatie, en daarbij betrekken dat in de artikelen 2.8 en 2.15 expliciet wordt gesteld dat het resultaat van verwerkingen sturingsinformatie oplevert, maar dat ten aanzien van de RIEC’s, de ZVH en eventueel bij AMvB aan te wijzen samenwerkingsverbanden een dergelijke clausule ontbreekt. Deze leden menen dat, bij samenwerkingsverbanden hoofdzakelijk bestaande uit private partijen, moet worden voorkomen dat te eenvoudig in allerlei gegevens wordt gesnuffeld om maar te bezien of er tot sturingsinformatie kan worden gekomen.

De voorgestelde artikelen 2.8 en 2.15 bepalen dat sturingsinformatie het resultaat is van de gegevensverwerking door het FEC en door iCOV. Deze bepalingen die het resultaat definiëren, zijn bedoeld als beperking, omdat op grond van artikel 1.7 alleen resultaten mogen worden verstrekt vanuit het samenwerkingsverband. Bij de RIEC’s, de Zorg- en Veiligheidshuizen en bij amvb aangewezen samenwerkingsverbanden is sprake van de volgende resultaten van de gezamenlijke gegevensverwerking:

• – Bij de RIEC’s kan de gezamenlijke gegevensverwerking volgens artikel 2.23, zevende lid, resulteren in een interventieadvies. Deze bepaling definieert daarmee het resultaat, bedoeld in artikel 1.7. Zoals toegelicht in de artikelsgewijze toelichting bij artikel 2.23, zevende lid, stelt een interventieadvies de betrokken deelnemers in staat hun wettelijke taken en bevoegdheden uit te oefenen. Het advies kan worden gebruikt om te bepalen of interventie wenselijk en noodzakelijk is, of deze in afstemming tussen bepaalde deelnemers moet gebeuren en welke deelnemers betrokken moeten zijn alsmede welke deelnemer verantwoordelijk is voor de gezamenlijk te verrichten interventie of interventies. Zoals toegelicht in de artikelsgewijze toelichting bij artikel 2.23, achtste lid, bevat het advies slechts die gegevens die nodig zijn om het gegeven advies te onderbouwen en een gedegen afweging van de mogelijke interventies te maken.

• – Bij de Zorg- en Veiligheidshuizen bestaat het resultaat van de gegevensverwerking uit de uitkomsten van casusoverleggen. Deze geven een beeld van wie welke interventie gaat plegen en welke casus als prioriteit worden behandeld.

• – Voor wat betreft samenwerkingsverbanden die bij amvb worden aangewezen, geldt dat het in de rede ligt om bij die amvb de resultaten van de gegevensverwerking te definiëren. Artikel 1.8, eerste lid, biedt daarvoor een grondslag.

Vraag 156 (D66)

De leden van de D66-fractie lezen dat aanwijzing van een overheidsinstantie of overheidsorgaan kan plaatsvinden, indien die deelname noodzakelijk is. Deze leden vragen wie beoordeelt of aan dat criterium is voldaan en op basis van welke criteria dit gebeurt.

Vraag 157 (D66)

Voornoemde leden lezen eveneens dat een private partij kan worden aangewezen als deelnemer, indien er tevens overheidsinstanties of overheidsorganen deelnemen. De aan het woord zijnde leden vragen of dit de mogelijkheid in zich heeft dat een samenwerkingsverband bestaat uit meer private partijen dan overheidsinstanties en vragen de regering in te gaan op de wenselijkheid daarvan.

Vraag 158 (D66)

De leden van de D66-fractie lezen dat een private partij slechts personen aan mag wijzen die niet tevens zijn belast met commerciële werkzaamheden. Dat lijkt deze leden wijs, maar zij vragen wel wie en op welke wijze hierop wordt toegezien en wat de consequenties zijn als aan deze voorwaarde niet is voldaan, dan wel er discussie ontstaat over het al dan niet vervuld zijn van deze eis. Graag krijgen zij van de regering een toelichting op dit punt.

Vraag 159 (D66)

De leden van de D66-fractie lezen dat de resultaten van gegevensverwerking kunnen worden verstrekt aan een private deelnemer indien de «behartiging van gerechtvaardigde belangen (...) verenigbaar zijn met het doel van het samenwerkingsverband.» Dat criterium komt deze leden vrij ruim voor. Deelt de regering de mening dat gegevens alleen zouden moeten worden verstrekt indien het gaat om een publiek belang dat de private deelnemer behartigt?

Vraag 160 (CDA)

De leden van de CDA-fractie vragen de regering hoe geregeld zal worden dat gegevens na de verstreken termijn daadwerkelijk vernietigd zullen worden? Hoe wordt toezicht gehouden op de daadwerkelijke vernietiging van deze gegevens?

Informatiesystemen kunnen met toepassing van het in artikel 25 AVG vastgelegde principe van «Privacy by Design» zo worden ingericht dat gegevens uiterlijk vijf jaar na de datum van eerste verwerking automatisch worden vernietigd. Ook kunnen er andere technische en organisatorische maatregelen worden getroffen om gegevens niet langer te bewaren dan is voorgeschreven. Wel zal daarbij op grond van de laatste volzin van dit artikellid rekening moeten worden gehouden met de mogelijkheid om in bijzondere gevallen en voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband persoonsgegevens die worden bewaard, in opdracht van de deelnemers, na verkregen instemming van de deelnemer die de betreffende persoonsgegevens heeft verstrekt, ter beschikking te stellen voor hernieuwde verwerking.

Het toezicht op de daadwerkelijke vernietiging vindt in eerste instantie plaats door middel van de privacy audits die in artikel 1.10 van het wetsvoorstel zijn voorgeschreven. Verder kan ook de Autoriteit persoonsgegevens onderzoek naar de naleving van de voorschriften over de vernietiging van de verwerkte persoonsgegevens doen.

Vraag 161 (D66)

De leden van de D66-fractie lezen dat in artikel 1.9, tweede lid menselijke tussenkomst gewaarborgd is bij het verstrekken van het resultaat van de geautomatiseerde gegevensverwerking, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen. In principe zijn voornoemde leden van mening dat dit een positieve toevoeging is aan het wetsvoorstel. Zij vragen zich echter wel af of deze beoordeling mogelijk is bij systemen die gebruik maken van deep learning?

Vraag 162 (D66)

Voorts vragen de aan het woord zijnde leden naar de openbaarheid en transparantie van geautomatiseerde gegevensanalyse. Een belangrijke waarborg met het oog op discriminatie en misbruik is dat het samenwerkingsverband algemene gegevens over systematische gegevensverwerking toegankelijk moet maken; deze waarborg geeft uitwerking aan het beginsel van transparantie. Het samenwerkingsverband hoeft echter geen gegevens over geautomatiseerde gegevensanalyse toegankelijk te maken als een (publieke of private) deelnemer van oordeel is dat zwaarwegende redenen zich daartegen verzetten. Dit staat in artikel 1.9, derde lid. Wat voor «zwaarwegende reden» kan dit zijn? Hoe definieert de regering deze? Verwacht de regering dat dit vaak zal worden ingeroepen? De Afdeling acht het niet onaannemelijk dat deze uitzondering op het terrein dat door het wetsvoorstel wordt bestreken relatief vaak zal worden ingeroepen. Bij SyRI, het systeem tegen sociale en fiscale fraude, is informatieverstrekking stelselmatig achterwege gebleven, om te voorkomen dat de «modus operandi» bekend wordt. In hoeverre is deze bepaling dan effectief en is er sprake van daadwerkelijke transparantie? Ook in de artikelsgewijze toelichting bij artikel 1.9 wordt hier niet op ingegaan, zo constateren de aan het woord zijnde leden.

Bij deze zwaarwegende redenen moet in ieder geval worden gedacht aan de situatie waarin het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of dat de informatieverstrekking de verwezenlijking van de doeleinden van de gegevensverwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Als door het geven van voor het publiek toegankelijke wijze informatie bijvoorbeeld (volledig) bekend wordt hoe een profiel werkt, is er het risico dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van het profiel en de effectiviteit van het toezicht worden verminderd.

Van belang is overigens dat artikel 1.9, derde lid, transparantie over de gehanteerde patronen en indicatoren of andere onderliggende logica voorschrijft «voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten». Met het gebruik van de woorden «voor zover» is beoogd te regelen dat de informatieverstrekking minder specifiek kan zijn als er zwaarwegende redenen zijn. Niet beoogd is dat dan geen informatieverstrekking plaatsvindt.

Vraag 163 (SP)

De leden van de SP-fractie constateren dat in artikel 1.9 de verplichting is opgenomen om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica als een samenwerkingsverband geautomatiseerde gegevensanalyse verricht. Wat betekent «op toegankelijke wijze»? Waarom wordt niet gewoon gekozen dit geheel openbaar te maken? Wat zou daarop tegen zijn? Voorts geldt hier de beperking «voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten». Betekent dit nu dat een deelnemer deze transparantie kan tegenhouden? Wanneer geldt iets als zwaarwegende reden? Wie bepaalt dat en hoe wordt dat getoetst?

«Op toegankelijke wijze» wil zeggen dat men weinig moeite hoeft te doen om toegang tot de informatie te krijgen. Opneming daarvan in een privacystatement op de eigen website met een duidelijke link op de homepage kan daaraan bijdragen.42

Er is niet voor gekozen om de informatie waar het hier om gaat, te allen tijde geheel openbaar te doen zijn. Bij het betrachten van transparantie zal immers rekening moeten worden gehouden met het risico van «gaming the system»: wanneer (veel) inzicht in methoden en data wordt gegeven kunnen kwaadwillenden hier misbruik van maken. Zo kan het wenselijk zijn dat een overheidsdienst in haar privacystatement wel informatie verschaft over variabelen die zij in haar analyses hanteert, maar niet over drempelwaarden.43 In antwoord op vraag 141 van de CDA-fractie is daarvan een voorbeeld gegeven in een situatie dat een samenwerkingsverband vastgoedfraude bestrijdt. Het tegengaan van «gaming the system» kan inderdaad een zwaarwegende reden opleveren op grond waarvan een deelnemer van oordeel kan zijn dat over bepaalde aspecten, bijvoorbeeld de gehanteerde drempelwaarden, geen uitleg wordt gegeven. Het is aan de Autoriteit persoonsgegevens en uiteindelijk de rechter om, zo nodig, te toetsen of die reden zwaarwegend genoeg is.

Een en ander laat onverlet dat samenwerkingsverbanden bij verwerking van persoonsgegevens in een data-analyse op grond van artikel 14 AVG een betrokken burger individueel over verwerking van hem betreffende persoonsgegevens moeten informeren, maar ook dat zij deze verplichting op grond van artikel 41 van de Uitvoeringswet AVG in individuele zaken buiten toepassing kunnen laten.44

Vraag 164 (D66)

De leden van de D66-fractie vragen de regering toe te lichten wat zij verstaat onder financieel-economische criminaliteit.

Financieel-economische criminaliteit werd door de toenmalige Minister van Justitie in 2001 aangeduid als «een verzamelbegrip voor een groot aantal verschijningsvormen van criminaliteit, die in de volksmond vaak worden aangeduid als «fraude»».45

De term «fraude» omvat de meer klassieke vormen van financieel-economische criminaliteit, zoals valsheid in geschrifte, oplichting, bedrog, verduistering, (bedrieglijke) bankbreuk en corruptie.

Onder financieel-economische criminaliteit vallen ook andere varianten, die niet zozeer zijn aan te merken als fraude, zoals witwassen, overtreding van handels- en financiële sancties, handel met voorwetenschap, marktmanipulatie en de financiering van terrorisme.46

Dit kan gepaard gaan met het misbruiken van het financiële stelsel voor oneigenlijke of criminele doelen.

Financieel-economische criminaliteit is geen statisch begrip en is daarom niet goed te definiëren in dit wetsvoorstel. Door de jaren heen komen nieuwe verschijningsvormen aan de oppervlakte. Voorbeelden hiervan zijn de manipulatie van financiële benchmarks (LIBOR-fraude) en cybercrime.

Met de term financieel-economische criminaliteit wordt in dit wetsvoorstel niet alleen gedoeld op strafrechtelijke gedragingen. De bestrijding van criminaliteit is immers al lang niet meer voorbehouden aan alleen het strafrecht. Zoals blijkt uit de opsomming van de wetten ten behoeve van de uitvoering waarvan de deelnemers van het FEC worden aangewezen (artikel 2.3), gaat het bij financieel-economische criminaliteit in dit wetsvoorstel eveneens over niet-naleving van bepaalde bestuursrechtelijke wetten en prudentiële wetgeving.

Vraag 165 (ChristenUnie)

De leden van de ChristenUnie-fractie lezen in artikel 2.21 dat in het kader van onderzoeken naar illegale prostitutie en mensenhandel registratie van bijzondere persoonsgegevens mogelijk is. Moeten hiervoor harde signalen van mensenhandel zijn, of hebben RIEC’s ook de mogelijkheid bij vermoedens van mensenhandel en/of gedwongen prostitutie tot registratie en verwerking over te gaan? Biedt dit artikel ook een mogelijkheid voor het vervolgens delen van deze informatie met het oog op opsporing van illegale prostitutie en mensenhandel? Biedt dit artikel ook de grondslag voor gemeentelijke toezichthouders informatie aan de politie door te geven bij signalen van dwang en misbruik voor de bestrijding van misbruik en mensenhandel in de prostitutie?

Vraag 166 (CDA)

De leden van de CDA-fractie constateren dat in de lijst van categorieën gegevens die verstrekt mogen worden aan het RIEC ook de gegevens over het seksueel gedrag of seksuele gerichtheid van een persoon zijn opgenomen. Kan de regering de noodzaak toelichten voor het mogelijk maken van verstrekking van dergelijke gegevens?

Vraag 167 (VVD)

De leden van de VVD-fractie vinden het belangrijk dat gegevensdeling met woningcorporaties makkelijker verloopt, zodat zij beter de woonoverlast kunnen bestrijden. Deze leden lezen in artikel 2.27 dat de woningcorporaties niet tot de ZVH’s behoren. Welke mogelijkheden ziet de regering om deze aansluiting beter te regelen, zoals bijvoorbeeld de woningcorporaties ofwel tot de ZVH’s te laten behoren ofwel aan te wijzen voor een samenwerkingsverband bij AMvB?

De leden van de VVD-fractie hebben ook een vraag met betrekking tot woonfraude. Welke mogelijkheden biedt deze wet om gegevens uit de Basisregistratie Personen te kunnen delen met verhuurders?

Vraag 168 (D66)

De leden van de D66-fractie vragen de regering toe te lichten wat precies wordt verstaan onder de onder a tot en met c opgenomen doelstellingen van zwaarwegend algemeen belang.

Voor het antwoord op deze vraag wordt voor wat betreft de term «zwaarwegend algemeen belang» verwezen naar het antwoord op vraag 46. Voor wat betreft de betekenis van de onderdelen a tot en met c van artikel 3.1 kan daaraan het volgende worden toegevoegd.

Onder «het voorkomen en bestrijden van ernstige vormen van criminaliteit» in de zin van artikel 3.1, onderdeel a, moet in ieder geval worden verstaan het voorkomen en bestrijden van «misdrijven die een ernstige inbreuk op de rechtsorde opleveren». Dergelijke formules komen voor in artikel 10 Wpg, diverse artikelen uit het Wetboek van Strafvordering en artikel 3.22 Telecommunicatiewet. Aangezien het in dit wetsvoorstel niet alleen gaat om misdrijven, maar ook om bestuurlijk beboetbare feiten, is gekozen voor de bredere term «criminaliteit» in plaats van «misdrijven».

In de memorie van toelichting47 bij de invoering van dit criterium in het Wetboek van Strafvordering is dat als volgt toegelicht: «De concrete feiten en omstandigheden dienen meegewogen te worden bij de beoordeling of sprake is van een ernstige inbreuk op de rechtsorde. Het kan gaan om misdrijven als moord, handel in drugs, mensenhandel, omvangrijke milieudelicten, wapenhandel maar ook ernstige financiële misdrijven, zoals omvangrijke ernstige fraude, bijvoorbeeld een BTW-carrousel. Dergelijke misdrijven schokken de rechtsorde ernstig door hun gewelddadige karakter of door hun omvang en gevolgen voor de samenleving. Ook minder ernstige misdrijven kunnen een ernstige inbreuk maken op de rechtsorde, doordat zij in combinatie met andere misdrijven worden gepleegd, bijvoorbeeld valsheid in geschrifte in combinatie met omkoping van ambtenaren met het oog op verkrijging van vergunningen voor bedrijven, of kleine fraudes waarvan, gelet op de aard, kan worden vermoed dat deze deel uitmaken van een omvangrijke en ernstige vorm van fraude.» Verderop in die memorie van toelichting is ook witwassen als voorbeeld genoemd.48

Deze voorbeelden moeten omwille van de toekomstbestendigheid en flexibiliteit overigens niet uitputtend worden opgevat, maar zij geven een indicatie van de ernst van de criminaliteit in de zin van het voorgestelde artikel 3.1, onderdeel a, van het onderhavige wetsvoorstel.

De onderdelen b en c van artikel 3.1 dienen mutatis mutandis op dezelfde wijze als onderdeel a te worden gelezen voor wat betreft het vereiste grootschalige of systematische karakter van de in onderdelen b en c bedoelde vormen van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen of van ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer.

Vraag 169 (D66)

De leden van de D66-fractie vragen de regering te bevestigen dat het niet de bedoeling is te komen tot een samenwerkingsverband dat uitsluitend en hoofdzakelijk bestaat uit private partijen. Zo ja, kan dit niet beter worden geclausuleerd dan nu is gedaan?

Het voorgestelde artikel 1.3, derde lid, bepaalt dat aanwijzing van een private partij als deelnemer slechts mogelijk is indien – voor zover hier relevant – «tevens overheidsinstanties of overheidsorganen deelnemen». Daarmee is uitgesloten dat een samenwerkingsverband onder dit wetsvoorstel of in een amvb op grond van dit wetsvoorstel bestaat uit uitsluitend private partijen.

Voor het antwoord op de vraag of het mogelijk is om uit te sluiten dat een samenwerkingsverband «hoofdzakelijk» uit private partijen bestaat, verwijs ik naar het antwoord op vraag 157.